HTML Injection in Froxlor

2022-04-1400:00:19

Google

osv.dev

0.001 Low

EPSS

Percentile

32.6%

JSON

Froxlor through 0.10.22 does not perform validation on user input passed in the customermail GET parameter. The value of this parameter is reflected in the login webpage, allowing the injection of arbitrary HTML tags.

Note: Froxlor version 0.10.22 introduces AntiXSS cross-site scripting protection, but AntiXSS only provides partial protection for this particular issue.

CPENameOperatorVersion
froxlor/froxloreq0.10.3
froxlor/froxloreq0.10.0-rc2
froxlor/froxloreq0.10.21
froxlor/froxloreq0.10.6
froxlor/froxloreq0.10.17
froxlor/froxloreq0.10.7
froxlor/froxloreq0.10.18
froxlor/froxloreq0.10.2
froxlor/froxloreq0.10.9
froxlor/froxloreq0.10.13

Name	Operator	Version
froxlor/froxlor	eq	0.10.3
froxlor/froxlor	eq	0.10.0-rc2
froxlor/froxlor	eq	0.10.21
froxlor/froxlor	eq	0.10.6
froxlor/froxlor	eq	0.10.17
froxlor/froxlor	eq	0.10.7
froxlor/froxlor	eq	0.10.18
froxlor/froxlor	eq	0.10.2
froxlor/froxlor	eq	0.10.9
froxlor/froxlor	eq	0.10.13