jorikfon
commented
1 month ago Добавил в Extensions REST API, если проблем не будет можно будет во все добавить.
Open jorikfon opened 7 months ago
jorikfon
commented
1 month ago Добавил в Extensions REST API, если проблем не будет можно будет во все добавить.
jorikfon
commented
1 month ago В Сотрудниках были проблемы с полем для ручной кастомизации, там нужны теги, убрал его из фильтрации.
После авторизации, отсутствует какая либо фильтрация ввода от пользователя, поэтому неоднократно можно воспроизвести там хранимый JavaScript код (XSS), который будет выполняться при каждом обращении пользователей к этой странице Пример воспроизведения уязвимости: Добавляем пользователя, ставим ему имя как После сохранения всплывает окно оповещения. Угроза в том, что подобным способом имеется возможность выкрасть cookie сессию администратора или изменять фронт енд элементы на самом сайте.