Lucene search

K
hackeroneKriakikuH1:785785
HistoryJan 29, 2020 - 8:10 p.m.

Mail.ru: [Web ICQ Client] XSS-inj in polls

2020-01-2920:10:08
kriakiku
hackerone.com
$1000
51

Domain, site, application: WEB ICQ Client - https://web.icq.com/

Testing environment: Browser (firefox)

Steps to reproduce

  • Создаем новый опрос
  • Указываем в варианты ответов произвольный HTML код
  • Отправляем

Actual results

  • Введенный HTML код срабатывает

Демонстрация работы: █████

Impact

Частичный перехват контроля над аккаунтом пользователя