Система определения местоположения от Linkit ONE, вплоть до фиксации f06bd20 (26 апреля 2023 г.), содержит отраженную уязвимость межсайтового скриптинга в файле PM25.php, которая позволяет удаленным злоумышленникам выполнять произвольный код JavaScript путем внедрения вредоносного кода в параметры GET. Злоумышленники могут создать вредоносный URL-адрес, содержащий незакодированные полезные данные в параметрах сайта, города, района, канала или API-ключа, для выполнения сценариев в браузерах жертв при посещении страницы.
Показать оригинальное описание (EN)
Location Aware Sensor System by Linkit ONE, up to commit f06bd20 (2023-04-26), contains a reflected cross-site scripting vulnerability in the PM25.php file that allows remote attackers to execute arbitrary JavaScript by injecting malicious code into GET parameters. Attackers can craft a malicious URL containing unencoded payloads in the site, city, district, channel, or apikey parameters to execute scripts in victims' browsers when they visit the page.
Характеристики атаки
Последствия
Строка CVSS v4.0