Image du projet 'Socle K-Sup' téléversée
  1. Socle K-Sup
  2. CORE-4789

XSS sur la génération de la pagination (liste_resultats.jsp)

    XMLWordImprimable

Informations

    • Bug
    • Résolution: Non résolu
    • Majeur
    • 6.02.54
    • master, 6.02.53
    • Aucune

    Description

      Bonjour tous !

      Nous avons détecté une faille XSS sur la génération de la pagination de la liste de résultats suite à une recherche avancée sur les formations.

      Sur une recherche avancée de formation, en ajoutant une modalité d'enseignement, ajouter le hack à la suite du paramètre :

      %22/%3E%3Cimg%20src=x%20onerror=%22alert(%27coucou%27)%22%20/%3E%3C!%E2%80%94

      Le soucis se situe sur la jsp liste_resultats.jsp (pas d'échappement de la requête) et/ou sur la gestion de la requête dans RechercheFicheHelper.getUrlResults

      Pièces jointes

        Liens des tickets

          mentioned in

          Page Chargement

          Activité

            Personnes

              camille.lebugle Camille LEBUGLE
              pierre.burget Pierre BURGET
              Votes:
              0 Voter pour ce ticket
              Gérer les observateurs:
              2 Démarre l'observation de ce ticket

              Dates

                Création:
                Mise à jour: