[ONSEC-09-018] Twilight CMS XSS
Цель: Twilight CMS
Тип: Межсайтовый скриптинг
Угроза: Средняя
Дата обнаружения: 01.10.2009
Дата оповещения разработчика: 01.10.2009
Дата выхода исправления: 10.01.2009
Автор: Vladimir Vorontsov
OnSec Russian Security Group (onsec [dot] ru)
Описание: Уязвимость существует из-за отсутствия фильтрации символов в параметре calendar. Злоумышленник может передать в ссылке специальные символы и вызвать выполнение произвольного JavaScript кода в броузере жертвы. Значение параметра calendar сразу попадает в тэг <script> выходного HTML файла. Это упрощает проведение атаки, усложняет детектирование факта атаки в журналах веб-сервера и приложения, а также способствует обходу фильтров Web Application Firewall.
Реализация: