Description

Open ISES Tickets before 3.44.2 contains a reflected cross-site scripting vulnerability in search.php that allows authenticated attackers to inject arbitrary JavaScript by passing an unsanitized value through the frm_query POST parameter directly into an HTML input field VALUE attribute. Attackers can craft a malicious request containing a JavaScript payload in the frm_query parameter that executes in the victim's browser when submitted.

Type de vulnérabilité

• CWE-79

Vecteur d'attaque

Complexité : LOW

Privilèges requis : LOW

Interaction utilisateur : REQUIRED

Impact

• Confidentialité : LOW
• Intégrité : LOW
• Disponibilité : NONE

Recommandations

Appliquer les correctifs de sécurité fournis par le vendeur dès que possible.