Open ISES Tickets before 3.44.2 contains a reflected cross-site scripting vulnerability in circle.php that allows authenticated attackers to inject arbitrary JavaScript by passing an unsanitized value through the frm_id POST parameter directly into an HTML form input value attribute. Attackers can craft a malicious request containing a JavaScript payload that executes in the victim's browser when the response is rendered.
Open ISES Tickets versions before 3.44.2 contain a reflected XSS vulnerability in circle.php where the frm_id POST parameter is not properly sanitized before being inserted into HTML form attributes. Authenticated attackers can inject malicious JavaScript that executes in victims' browsers when the crafted response is rendered.
تؤثر هذه الثغرة على Open ISES Tickets وهو نظام إدارة تذاكر شهير يستخدم في المنظمات السعودية. يمكن للمهاجمين المصرح لهم استغلال عدم تنظيف معامل frm_id لحقن كود JavaScript ضار. قد يؤدي هذا إلى سرقة جلسات المستخدمين أو بيانات حساسة من خلال متصفحات الضحايا.
إصدارات Open ISES Tickets السابقة للإصدار 3.44.2 تحتوي على ثغرة XSS معكوسة في circle.php حيث لا يتم تنظيف معامل POST frm_id بشكل صحيح قبل إدراجه في سمات نماذج HTML. يمكن للمهاجمين المصرح لهم بحقن JavaScript ضار يتم تنفيذه في متصفحات الضحايا عند عرض الاستجابة المصنوعة.
Upgrade Open ISES Tickets to version 3.44.2 or later immediately. Implement input validation and output encoding for all user-supplied parameters, particularly the frm_id POST parameter. Apply Content Security Policy headers to mitigate XSS impact. Conduct security code review of circle.php and similar components handling user input.
قم بترقية Open ISES Tickets إلى الإصدار 3.44.2 أو أحدث على الفور. قم بتطبيق التحقق من صحة المدخلات وترميز المخرجات لجميع المعاملات المزودة من قبل المستخدم، خاصة معامل POST frm_id. طبق رؤوس سياسة أمان المحتوى للتخفيف من تأثير XSS. أجرِ مراجعة أمان الكود لـ circle.php والمكونات المماثلة التي تتعامل مع مدخلات المستخدم.