📚 Mail.ru: [Web ICQ Client] XSS уязвимость в имени пользователя
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vulners.com
Domain, site, application: WEB ICQ Client - https://web.icq.com/ Testing environment: Browser (firefox) Steps to reproduce 1. Устанавливаем имя пользователя, содержащее HTML код 2. Создаем канал/группу, в который приглашаем любого пользователя 3. Разрешаем/Запрещаем писать пользователю Actual results В нотификации отображаемой в чате выполнится HTML код указанный в имени пользователя (отсутствует фильтрация). На сколько понимаю, применение узконаправленное (данные уведомления отображаются только у получателя и отправителя настроек ограничений). Screencast: ████ P. S.: В клиентском браузере отображается название канала, вместо логина администратора, применившего санкции. Название канала так же может содержать HTML код: {F702013} Impact Выполнение произвольного JS в Web... ...