Vulnerabilità: CVE-2020-35676

BigProf sistema di fatturazione online prima di 3.1 non riesce a disinfettare correttamente un payload XSS quando un utente si registra utilizzando la funzionalità di auto-registrazione. In quanto tale, un utente malintenzionato può inserire un carico utile artigianale che eseguirà sul amministratore del programma di navigazione lista degli iscritti degli utenti. Una volta che il Javascript arbitrario viene eseguito nel contesto del l’amministratore, questo farà sì che il malintenzionato di ottenere privilegi amministrativi, in modo efficace che conduce in un cambio di gestione delle applicazioni. Questo influisce app / membership_signup.php e app / admin / pageViewMembers.php.


https://github.com/bigprof-software/online-invoicing-system/releases/tag/3.1
https://labs.ingredous.com/2020/07/13/ois-membershipsignup-xss/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-35676


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi