Headline
CVE-2022-34094: Vulnerabilidade - XSS (Cross Site Scripting) or HTML Injection - request_token.php · Issue #5 · edmarmoretti/i3geo
Portal do Software Publico Brasileiro i3geo v7.0.5 was discovered to contain a cross-site scripting (XSS) vulnerability via request_token.php.
Boa tarde
A vulnerabilidade em questão está no arquivo request_token.php.
O nível de severidade da vulnerabilidade é alta, pois é possível a injeção de código html, bem como a execução de código javascript.
Proof of Concept (POC)
O falha pode ser testada da seguinte maneira:
http://…/i3geo/pacotes/linkedinoauth/example/request_token.php=%22%3E%3Cscript%3Ealert(%22HACKED%22)%3C/script%3E%3C!–
Desde já agradeço a atenção.
Wagner Drachinski
[email protected]