Olá, gostaria de reportar uma falha de stored cross-site scripting na funcionalidade de visualizar clientes. A falha encontra-se no campo Descrição da ordem de serviço. Quando um administrador visualiza um cliente que tem ordem de serviço em aberto, caso haja código javascript no campo descrição dessa ordem de serviço, esse código é executado. Para checar até a falha, é necessário seguir os passos abaixo:
1 - Registrar um cliente em http://host/mapos/index.php/mine
2 - Logar com o cliente registrado e adicionar uma ordem de serviço, dentro do campo descrição inserir um javascript qualquer, por exemplo: <script>alert('xss');</script>
3 - Em seguida logar com o usuário administrador, ir em Clientes e visualizar o novo cliente registrado. O código inserido no passo 2 será executado.
The text was updated successfully, but these errors were encountered:
Olá, gostaria de reportar uma falha de stored cross-site scripting na funcionalidade de visualizar clientes. A falha encontra-se no campo Descrição da ordem de serviço. Quando um administrador visualiza um cliente que tem ordem de serviço em aberto, caso haja código javascript no campo descrição dessa ordem de serviço, esse código é executado. Para checar até a falha, é necessário seguir os passos abaixo:
1 - Registrar um cliente em http://host/mapos/index.php/mine
2 - Logar com o cliente registrado e adicionar uma ordem de serviço, dentro do campo descrição inserir um javascript qualquer, por exemplo: <script>alert('xss');</script>
3 - Em seguida logar com o usuário administrador, ir em Clientes e visualizar o novo cliente registrado. O código inserido no passo 2 será executado.
The text was updated successfully, but these errors were encountered: