0day.today - Il più grande database di exploit nel mondo.

Seleziona la tua lingua:

Cose che dovresti sapere du questo:

Utilizziamo un dominio principale DOMAIN_LINK

Se vuoi acquistare l'exploit o ottenerlo, devi comprare i Gold.

We accept currencies: [contact admin to find more]

Non vogliamo che utilizzi i tool di hacking per atttività illecite sul nostro sito web, quindi ogni azione può avere effetti illegali su utenti e sul nostro sito web verrai bannato. ed il tuo account con i tuoi dati verranno distrutti.

L'amministrazione del sito usa contatti ufficiali. Attenzione agli istruttori!

We DO NOT use Telegram or any messengers / social networks!
Please, beware of scammers!

Sono un'utente registrato su 0day.today. Non voglio più vedere questa finestra in futuro.

Cosa fare prima?

Leggere il [ accordo ]
Leggere il [ Submit ] regole
Visita il [ faq ] page
[ Registrati ] profilo
ottieni [ Oro ]
Se vuoi [ vendere ]
Se vuoi [ comprare ]
se hai perso [ Account ]
Qualsiasi domanda [ [email protected] ]

links principali

Ci puoi contattare tramite

Mail:

[email protected]

Facebook:

Inj3ct0rs

Twitter:

Inj3ct0r

Telegram:

We DO NOT use Telegram or any messengers / social networks!

[ authorization ] [ registration ] [ Ripristina ]

Ci puoi contattare tramite:

Mail:

[email protected]

Facebook:

Inj3ct0rs

Twitter:

Inj3ct0r

Telegram:

We DO NOT use Telegram or any messengers / social networks!

Elastix 2.3.0 Cross Site Scripting Vulnerability

Autore

cheki

Rischio

[

Security Risk Medium

]

0day-ID

Categoria

Data inserimento

Piattaforma

# Author: cheki
# Exploit Title: Elastix 2.3.0 Cross Site Scripting
# Date: 05-12-2010
# Vendor or Software Link:http://www.elastix.org/
# Category:WebApp
# Version:2.3.0
# Price:free
# Contact: [email protected]
# Website: hacking.ge
# Greetings to: Anuka bolqvadze


==================================================================

EXPLOIT: https://localhost/index.php?menu=monitoring

Go to PBX>Moitoring and click on Show Filter then insert  "<script>alert("XSS");</script>"

into Start Day input and click enter. now you will get Cross Site Scripting error.


===================================================================
                      [Vulnerability]

[root@ /]# cat /var/www/html/modules/monitoring/index.php
===================================================================

$arrFormFilterMonitoring = createFieldFilter();
    $oFilterForm = new paloForm($smarty, $arrFormFilterMonitoring);

    $smarty->assign("INCOMING", _tr("Incoming"));
    $smarty->assign("OUTGOING", _tr("Outgoing"));
    $smarty->assign("QUEUE", _tr("Queue"));
    $smarty->assign("GROUP", _tr("Group"));
    $smarty->assign("SHOW", _tr("Show"));
    $_POST["filter_field"]           = $filter_field;
    $_POST["filter_value"]           = $filter;
    $_POST["filter_value_userfield"] = $filter_userfield;

    $oGrid->addFilterControl(_tr("Filter applied ")._tr("Start Date")." = ".$paramFilter['date_start'].", "._tr("End Date")." = ".$paramFilter['date_end'], $paramFilter,  array('date_start' => date("d M Y"),'date_end' => date("d M Y")),true);

    if($filter_field == "userfield"){
        $oGrid->addFilterControl(_tr("Filter applied ")." $nameFilterField = $nameFilterUserfield", $_POST, array('filter_field' => "src",'filter_value_userfield' => "incoming"));
    }
    else{
        $oGrid->addFilterControl(_tr("Filter applied ")." $nameFilterField = $filter", $_POST, array('filter_field' => "src","filter_value" => ""));
    }

    $htmlFilter = $oFilterForm->fetchForm("$local_templates_dir/filter.tpl","",$_POST);
    //end section filter
    $oGrid->showFilter(trim($htmlFilter));
    $content = $oGrid->fetchGrid();

================================================================

http://bugs.elastix.org/view.php?id=1278



#  0day.today [2024-07-04]  #

We DO NOT use Telegram or any messengers / social networks!

Please, beware of scammers!

Elastix 2.3.0 Cross Site Scripting Vulnerability

Report Error

Report Error