漏洞标题
N/A
漏洞描述信息
在Etano 1.22 及其更早版本中,存在多个跨站点脚本(XSS)漏洞,允许远程攻击者通过(1)用户、(2)电子邮件、(3)电子邮件2、(4)f17_zip 或 (5)同意参数 join.php 等方式,注入任意的 web 脚本或 HTML。
(6) PATH_INFO、(7) st、(8) f17_city、(9) f17_country、(10) f17_state、(11) f17_zip、(12) f19、(13) wphoto、(14)搜索 或 (15) v 参数用于 search.php;
(16) PATH_INFO 或 (17) st 参数用于 photo_search.php;或 (18)返回参数用于 photo_view.php。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Multiple cross-site scripting (XSS) vulnerabilities in Etano 1.22 and earlier allow remote attackers to inject arbitrary web script or HTML via the (1) user, (2) email, (3) email2, (4) f17_zip, or (5) agree parameter to join.php; (6) PATH_INFO, (7) st, (8) f17_city, (9) f17_country, (10) f17_state, (11) f17_zip, (12) f19, (13) wphoto, (14) search, or (15) v parameter to search.php; (16) PATH_INFO or (17) st parameter to photo_search.php; or (18) return parameter to photo_view.php.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Etano多个跨站脚本漏洞
漏洞描述信息
Etano中存在多个跨站脚本漏洞,这些漏洞源于对用户提供的数据未经充分过滤。攻击者可利用这些漏洞在受影响站点上下文的不知情用户浏览器上执行任意脚本代码,这可能允许攻击者盗取基于cookie的认证证书进而发起其他攻击。Etano 1.20版本至1.22版本中存在这些漏洞,其他版本也可能受到影响。
CVSS信息
N/A
漏洞类别
跨站脚本