New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Ordens de Serviço Stored Cross-site Scripting (XSS) #81

Closed
alissonbezerra opened this Issue Nov 21, 2017 · 1 comment

Comments

Projects
None yet
2 participants
@alissonbezerra

alissonbezerra commented Nov 21, 2017

Olá, gostaria de reportar uma falha de stored cross-site scripting na funcionalidade de visualizar clientes. A falha encontra-se no campo Descrição da ordem de serviço. Quando um administrador visualiza um cliente que tem ordem de serviço em aberto, caso haja código javascript no campo descrição dessa ordem de serviço, esse código é executado. Para checar até a falha, é necessário seguir os passos abaixo:

1 - Registrar um cliente em http://host/mapos/index.php/mine
2 - Logar com o cliente registrado e adicionar uma ordem de serviço, dentro do campo descrição inserir um javascript qualquer, por exemplo: <script>alert('xss');</script>
3 - Em seguida logar com o usuário administrador, ir em Clientes e visualizar o novo cliente registrado. O código inserido no passo 2 será executado.

RamonSilva20 added a commit that referenced this issue Nov 22, 2017

@RamonSilva20

This comment has been minimized.

Owner

RamonSilva20 commented Nov 22, 2017

Problema solucionado, obrigado por reportar.

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment