LocalTapiola: HTML Injection in email from http://www.lahitapiola.fi/henkilo/sivut/tonttutesti

2017-02-27T20:20:25
ID H1:209398
Type hackerone
Reporter billy_blaze
Modified 2017-03-13T15:44:47

Description

Basic report information

Summary: HTML Injection in email from http://www.lahitapiola.fi/henkilo/sivut/tonttutesti

Description: Tonttutesti´s kutsu kaverisi feature sends email to friend with a link to Localtapiola´s tonttutesti site. Fields "Nimesi" and "Kaverisi nimi" seem to be vulnerable.

Domain: http://www.lahitapiola.fi/henkilo/sivut/tonttutesti

Browsers / Apps Verified In:

*Chrome 56

Steps To Reproduce:

  1. Go to http://www.lahitapiola.fi/henkilo/sivut/tonttutesti
  2. To Nimesi and Kaverisi nimi fields insert "><a href="https://google.com">test</a>
  3. Fill rest of fields with any date and proper emails addresses
  4. Go to email provided (kaverisi sähköpostiosoite)

Additional material

  • Received Localtapiolas email in text: Hei b">test Kaverisi a">test kutsui sinut käyttämään vertailukonetta: Mikä tonttu olet? Kaverisi viesti: f">test Osoite: http://www.lahitapiola.fi/henkilo/sivut/tonttutesti

Related reports, best practices

  • https://hackerone.com/reports/190867