VULHUB ™

Hesk是一套免费的PHP帮助台软件。该软件支持为网站建立一个基于Web的票务支持系统（服务台），并通过Web界面来管理客户请求。 HESK 2.4.0及之前版本中存在跨站脚本漏洞，该漏洞源于inc/header.inc.php脚本没有充分过滤‘hesk_settings[tmp_title]’和‘hesklang[ENCODING]’参数；多个脚本（inc/assignment_search.inc.php、inc/attachments.inc.php、inc/common.inc.php、inc/database.inc.php、inc/prepare_ticket_search.inc.php、inc/print_tickets.inc.php、inc/show_admin_nav.inc.php、inc/show_search_form.inc.php、inc/ticket_list.inc.php）没有充分过滤‘hesklang[attempt]’参数；language/en/text.php脚本没有充分过滤‘PATH_INFO’变量。远程攻击者可利用该漏洞注入任意Web脚本或HTML。

Hesk是一套免费的PHP帮助台软件。该软件支持为网站建立一个基于Web的票务支持系统（服务台），并通过Web界面来管理客户请求。 HESK 2.4.0及之前版本中存在跨站脚本漏洞，该漏洞源于inc/header.inc.php脚本没有充分过滤‘hesk_settings[tmp_title]’和‘hesklang[ENCODING]’参数；多个脚本（inc/assignment_search.inc.php、inc/attachments.inc.php、inc/common.inc.php、inc/database.inc.php、inc/prepare_ticket_search.inc.php、inc/print_tickets.inc.php、inc/show_admin_nav.inc.php、inc/show_search_form.inc.php、inc/ticket_list.inc.php）没有充分过滤‘hesklang[attempt]’参数；language/en/text.php脚本没有充分过滤‘PATH_INFO’变量。远程攻击者可利用该漏洞注入任意Web脚本或HTML。