漏洞标题
N/A
漏洞描述信息
在2.4.1之前的 HESK 中存在多个跨站脚本(XSS)漏洞,允许远程攻击者通过 (1) hesk_settings[tmp_title] 或 (2) hesklang[ENCODING] 参数到 inc/header.inc.php 中,将任意的 Web 脚本或 HTML 注入;通过 (3) inc/assignment_search.inc.php,(4) inc/attachments.inc.php,(5) inc/common.inc.php,(6) inc/database.inc.php,(7) inc/prepare_ticket_search.inc.php,(8) inc/print_tickets.inc.php,(9) inc/show_admin_nav.inc.php,(10) inc/show_search_form.inc.php,或 (11) inc/ticket_list.inc.php;或 (12) PATH_INFO 到语言/en/text.php。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Multiple cross-site scripting (XSS) vulnerabilities in HESK before 2.4.1 allow remote attackers to inject arbitrary web script or HTML via the (1) hesk_settings[tmp_title] or (2) hesklang[ENCODING] parameter to inc/header.inc.php; the hesklang[attempt] parameter to (3) inc/assignment_search.inc.php, (4) inc/attachments.inc.php, (5) inc/common.inc.php, (6) inc/database.inc.php, (7) inc/prepare_ticket_search.inc.php, (8) inc/print_tickets.inc.php, (9) inc/show_admin_nav.inc.php, (10) inc/show_search_form.inc.php, or (11) inc/ticket_list.inc.php; or (12) the PATH_INFO to language/en/text.php.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
HESK 跨站脚本漏洞
漏洞描述信息
Hesk是一套免费的PHP帮助台软件。该软件支持为网站建立一个基于Web的票务支持系统(服务台),并通过Web界面来管理客户请求。 HESK 2.4.0及之前版本中存在跨站脚本漏洞,该漏洞源于inc/header.inc.php脚本没有充分过滤‘hesk_settings[tmp_title]’和‘hesklang[ENCODING]’参数;多个脚本(inc/assignment_search.inc.php、inc/attachments.inc.php、inc/common.inc.php、inc/d
CVSS信息
N/A
漏洞类别
跨站脚本