0

Emag Marketplace (XSS) CVE-2017-17043

Un nuevo Cross-site scripting se me presenta en el plugin «Emag Marketplace Connector» versión 1.0.1 de la empresa Zitec (https://zitec.com/).

El parámetro vulnerable se encuentra en la linea 1 del archivo «awb-meta-box.php» en la carpeta «/plugins/emag-marketplace-connector/templates/order/».

<input type="hidden" name="emkp_awb[order_id]" value="<?php echo $_GET['post']; ?>"/>

Haciendo uso de esta vulnerabilidad inyectamos nuestro código malicioso para comprobar si efectivamente se ejecuta nuestro código.

En esta captura se muestra el código dentro del cuerpo HTML.

 

 

 

adm1n

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *