qdPM 跨站脚本漏洞 CVE-2015-3883 CNNVD-201703-852

4.3 AV AC AU C I A
发布: 2017-03-17
修订: 2017-03-20

qdPM是一套免费的、开源的基于Symfony框架使用PHP和MySQL开发项目管理系统。 qdPM 8.3版本中存在跨站脚本漏洞。远程攻击者可借助多个脚本中的参数利用该漏洞注入任意的Web脚本或HTML。其中的参数和脚本包括:(1)index.php/users页面中的‘search[keywords]’参数;(2)index.php/configuration页面中的‘Name of application’;(3)index.php/projects中的‘new project name’;(4)index.php/tasks中的‘task name’;(5)index.php/tickets中的‘ticket nam’;(6)index.php/discussions中的‘discussion name’;(7)index.php/projectReports中的‘report name’;(8)index.php/scheduler/personal中的‘event name’。

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有1条受影响产品信息