OpenSTAManager — это программное обеспечение с открытым исходным кодом для технической помощи и выставления счетов. OpenSTAManager v2.9.8 и более ранние версии содержат отраженные уязвимости XSS в модальных окнах изменения счета/заказа/контракта. Приложению не удается должным образом очистить вводимые пользователем данные из параметра righe GET перед отражением их в выводе HTML. Параметр $_GET['righe'] напрямую отображается в атрибуте значения HTML без какой-либо очистки с использованием htmlspecialchars() или эквивалентных функций.
Это позволяет злоумышленнику выйти из контекста атрибута и внедрить произвольный HTML/JavaScript.
Показать оригинальное описание (EN)
OpenSTAManager is an open source management software for technical assistance and invoicing. OpenSTAManager v2.9.8 and earlier contains Reflected XSS vulnerabilities in invoice/order/contract modification modals. The application fails to properly sanitize user-supplied input from the righe GET parameter before reflecting it in HTML output.The $_GET['righe'] parameter is directly echoed into the HTML value attribute without any sanitization using htmlspecialchars() or equivalent functions. This allows an attacker to break out of the attribute context and inject arbitrary HTML/JavaScript.
Характеристики атаки
Последствия
Строка CVSS v4.0