OpenDocMan - две уязвимости к CSS/XSS
Сектор:
Корпоративное ПО
Производитель:
OpenDocMan
Продукт:
OpenDocMan
Операционная система:
-
Версии:
1.2.5
Тип:
CSS/XSS 
CSS/XSS – Общее определение: XSS (Cross-Site Scripting, назван CSS/XSS во избежание путаницы с другим термином, CSS, обозначающим стили в HTML), так называемый межсайтовый скриптинг. Позволяет выполнить произвольный JavaScript-код в клиентском приложении в контексте уязвимого сайта. Код передаётся в качестве одного из параметров в запросе к уязвимому сценарию, который не проводит фильтрацию данных перед их использованием. Эксплуатация уязвимости может привести к хищению cookie, фишингу или загрузке вредоносного кода от имени уязвимого сайта.
Наличие эксплойта:
нет
Наличие патча:
патч
Локальная/удаленная:
удаленная
Уровень:
средний
ОПИСАНИЕ
В OpenDocMan обнаружены две уязвимости к межсайтовому скриптингу (CSS/XSS) - через параметр “last_message” сценария “out.php” и “redirection” сценария “index.php”. Параметры не проверяются на предмет html-тегов перед выводом на страницу. Атакующий может составить URI, содержащий JavaScript-код. При вызове такого URI, код выполнится в браузере пользователя в контексте уязвимого сайта.
ЗАЩИТА
По данным на 19 июня 2008 г., разработчик устранил одну из двух уязвимостей.