forocasas.com XSS vulnerability

2014-09-18T15:55:00
ID OBB:49303
Type openbugbounty
Reporter guest
Modified 2014-12-17T15:55:00

Description

Open Bug Bounty ID: OBB-49303

Description| Value
---|---
Affected Website:| forocasas.com
Vulnerable Application:| Custom Code
Vulnerability Type:| XSS (Cross Site Scripting) / CWE-79
CVSSv3 Score:| 6.1 [CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N]
Remediation Guide:| OWASP XSS Prevention Cheat Sheet

Vulnerable URL:
http://www.forocasas.com/recursos/nlistado001.php?&cbo;_pais=0&cbo;_provincia=43&cbo;_poblacion=66&cbo;_zona=0&cbo;_tipo=0&cbo;_operacion=&nro;_pagina=1&sit;=⊃=&dor;=&ban;=&ref;=">&ase;=&asc;=0&pis;=0&gar;=0&tra;=0⪯=&yaentro;=1&modlistado;=4&cod;_cliente=1630&cod;_captacion=1630&tipo;_buscador=1&tipo;_listado=1&idioma;=1&nro;_regpag=40&clistado;=2&tgw;=no&moneda;=eu&tit;_bg_color=EBEBEB&centro;=&superior;=EBEBEB&fichanueva;=&fila1;=EBEBEB&fila2;=EBEBEB&letra;=000000&tletra;=000000&letra2;=000000&tletra2;=&filas;=10&pagina;=1&paginamax;=5&paginaini;=1&b1;=1&b2;=1&b3;=1&b4;=1&b5;=1&b6;=1&b7;=1&b8;=1&b9;=1&orden;=S&col;=5&lis;=O&cabecera;=&medi;=&simbmedi;=&cambiomedi;=1&externo;=S&confoto;=0&mostrarfoto;=&oferta;=&destacado;=&minfo;=1&grupo;=&tgf;=Det_info&foro;=&pagsuperior;=superior.htm&superior;_alto=&url;_bannerflash=&url;_banner=&banner;_alto=&banner;_ancho=&enviomail;=#_referencia=&hidden;=&mostrarpais;=N&contador;=&hidpre;=&rangoprecio;=&idiomax1;=&idiomar1;=⊤=&sinzona;=&largoiframe;=2800&quitarmetros;=&hiddendisp;=&preal;=&fdesde;=&fhasta;=&ilistado;=&f16;=&f17;=S&deszon;=undefined&f18;=&f19;=&paginferior;=&inferior;_alto=100&inferior;_ancho=&f20;=&flistado;=&hidsuperior;=&f21;=&f22;=&f23;=&bg;_buscador=EEEEEE&index;=&h1;=32&h2;=2&h3;=V&h4;=32&h5;=1&h6;=&h7;=0-99&h8;=&h9;=2&h10;=V&h11;=&paginferior2;=&inferior;_alto2=pagsuperior2=pagsuperior2=pagsuppagsuperior2=&f24;=&redes;=S&ordenarpor;=2&descendente;=1&fdesde;=&fhasta;=&ordenarpor;=&descendente;=1&buscarentodos;=0&avanzada;=0&gru;=0&look;=&preal;=&f16;=&f17;=&deszon;=undefined&f18;=&mancu;=&h1;=32&h2;=2&h3;=Vundefined&cbo;_gru=#top
Coordinated Disclosure Timeline

Description| Value
---|---
Vulnerability Reported:| 18 September, 2014 15:55 GMT
Vulnerability Verified:| 18 September, 2014 15:58 GMT
Website Operator Notified:| 18 September, 2014 15:58 GMT
Vulnerability Published:| 18 September, 2014 15:58 GMT[without any technical details]
Public Disclosure:| 17 December, 2014 15:55 GMT