Un problema è stato scoperto nel file chat.php in LiveZilla Live Chat 8.0.1.3 (Helpdesk). Un cieco iniezione JavaScript sta nel parametro del nome. Attivazione questo può recuperare il nome utente e le password dei dipendenti helpdesk nella URI. Questo porta ad un’escalation di privilegi, da non autenticato di accesso a livello utente, che portano alla piena considerazione pubblica di acquisto. L’attacco va a prendere più credenziali perché sono memorizzate nel database (XSS memorizzati). Questo influenza il / Chat Mobile URI tramite il LGN e parametri PASSWORD.
https://github.com/ari034/CVE-2020-9758
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9758