Headline
CVE-2022-34093: Vulnerabilidade - XSS (Cross Site Scripting) or HTML Injection - access_token.php · Issue #4 · saladesituacao/i3geo
Portal do Software Publico Brasileiro i3geo v7.0.5 was discovered to contain a cross-site scripting (XSS) vulnerability via access_token.php.
Boa tarde
A vulnerabilidade em questão está no arquivo access_token.php.
O nível de severidade da vulnerabilidade é alta, pois é possível a injeção de código html, bem como a execução de código javascript.
Proof of Concept (POC)
O falha pode ser testada da seguinte maneira:
- http://…/i3geo/pacotes/linkedinoauth/example/access_token.php=%22%3E%3Cscript%3Ealert(%22HACKED%22)%3C/script%3E%3C!–
Desde já agradeço a atenção.
Wagner Drachinski
[email protected]