Image du projet 'Socle K-Sup' téléversée
  1. Socle K-Sup
  2. CORE-4789

XSS sur la génération de la pagination (liste_resultats.jsp)

XMLWordImprimable

    • Icon: Bug Bug
    • Résolution: Non résolu
    • Icon: Majeur Majeur
    • 6.02.54
    • master, 6.02.53
    • Aucune

      Bonjour tous !

      Nous avons détecté une faille XSS sur la génération de la pagination de la liste de résultats suite à une recherche avancée sur les formations.

      Sur une recherche avancée de formation, en ajoutant une modalité d'enseignement, ajouter le hack à la suite du paramètre :

      %22/%3E%3Cimg%20src=x%20onerror=%22alert(%27coucou%27)%22%20/%3E%3C!%E2%80%94

      Le soucis se situe sur la jsp liste_resultats.jsp (pas d'échappement de la requête) et/ou sur la gestion de la requête dans RechercheFicheHelper.getUrlResults

            camille.lebugle Camille LEBUGLE
            pierre.burget Pierre BURGET
            Votes:
            0 Voter pour ce ticket
            Gérer les observateurs:
            2 Démarre l'observation de ce ticket

              Création:
              Mise à jour: