漏洞标题
N/A
漏洞描述信息
Layton HelpBox 3.7.1中的多个跨站脚本(XSS)漏洞允许远程授权用户通过(1)姓名,(2)姓氏,(3)电话,和(4)传真字段写入enduserenduser.asp;通过(5)过滤字段编辑statsrequestypereport.asp;以及通过(6)sys_request_id参数将请求附加.asp;并允许远程授权用户通过(7)资产,(8)位置,和(9)问题字段编辑requestenduser.asp;通过(10)资产,(11)资产位置,(12)问题描述和(13)解决方案描述字段编辑requestuser.asp;以及通过(14)最终用户和(15)描述字段编辑usersearchrequests.asp。请注意:Vector 5和6无需验证即可利用。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Multiple cross-site scripting (XSS) vulnerabilities in Layton HelpBox 3.7.1 allow remote authenticated users to inject arbitrary web script or HTML via the (1) Forename, (2) Surname, (3) Telephone, and (4) Fax fields to writeenduserenduser.asp; the (5) Filter field to statsrequestypereport.asp; and the (6) sys_request_id parameter to requestattach.asp; and allow remote authenticated users to inject arbitrary web script or HTML via the (7) Asset, (8) Location, and (9) Problem fields to editrequestenduser.asp; the (10) Asset, (11) Asset Location, (12) Problem Desc, and (13) Solution Desc fields to editrequestuser.asp; and the (14) End User and (15) Description fields to usersearchrequests.asp. NOTE: vectors 5 and 6 do not require authentication to exploit.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Layton HelpBox 跨站脚本漏洞
漏洞描述信息
Layton Helpbox是一套基于Web的桌面帮助系统。 Layton HelpBox 3.7.1版本中存在跨站脚本漏洞,该漏洞源于writeenduserenduser.asp文件没有充分过滤‘Forename’、‘Surname’、‘Telephone’和‘Fax’字段;statsrequestypereport.asp文件没有充分过滤‘Filter’字段;requestattach.asp文件没有充分过滤‘sys_request_id’字段;editrequestenduser.asp文件没有充
CVSS信息
N/A
漏洞类别
跨站脚本