漏洞起因
输入验证错误
危险等级
低
影响系统
GmbH LiveZilla 3.1.8.3
不受影响系统
危害
远程攻击者可以利用漏洞获得敏感信息。
攻击所需条件
攻击者必须访问LiveZilla。
漏洞信息
LiveZilla是一款在线客服与客户地理位置跟踪系统。
LiveZilla包含的’Map.php’脚本不正确过滤用户输入,远程攻击者可以通过提交恶意脚本代码作为"lat", "lng"和"zom"参数数据,诱使用户解析,可导致在目标用户浏览器上执行恶意脚本代码,获得敏感信息。
测试方法
http://localhost/livezilla/map.php?lat=%3C/script%3E%3Cscript%3Ealert(%22InterN0T.net%22)%3C/script%3E
厂商解决方案
目前没有解决方案提供:
http://www.livezilla.net/home/en/
漏洞提供者
MaXe
0 条评论。