Open ISES Tickets before 3.44.2 contains a reflected cross-site scripting vulnerability in db_loader.php that allows authenticated attackers to inject arbitrary JavaScript by passing an unsanitized value through the multiple POST parameters (ticketshost, ticketsdb, ticketsuser, ticketspassword, ticketsprefix, db_schema) directly into HTML form input value attributes. Attackers can craft a malicious request containing a JavaScript payload that executes in the victim's browser when the response is rendered.
Open ISES Tickets before version 3.44.2 contains a reflected cross-site scripting (XSS) vulnerability in db_loader.php that allows authenticated attackers to inject malicious JavaScript through unsanitized POST parameters. The vulnerability affects multiple database configuration fields and can execute arbitrary code in victims' browsers when the crafted response is rendered.
تسمح هذه الثغرة للمهاجمين المصرحين بحقن أكواد JavaScript عشوائية عبر معاملات قاعدة البيانات المتعددة في نموذج HTML. عند تقديم طلب ضار يحتوي على حمولة JavaScript، يتم تنفيذ الكود في متصفح الضحية عند عرض الاستجابة. تؤثر الثغرة على جميع إصدارات Open ISES Tickets السابقة للإصدار 3.44.2.
يحتوي Open ISES Tickets قبل الإصدار 3.44.2 على ثغرة حقن نصوص برمجية عابرة للمواقع في ملف db_loader.php تسمح للمهاجمين المصرحين بحقن JavaScript ضار عبر معاملات POST غير المعقمة. تؤثر الثغرة على عدة حقول إعدادات قاعدة البيانات وقد تنفذ أكوادًا عشوائية في متصفحات الضحايا.
Upgrade Open ISES Tickets to version 3.44.2 or later immediately. Implement input validation and output encoding for all POST parameters (ticketshost, ticketsdb, ticketsuser, ticketspassword, ticketsprefix, db_schema) in db_loader.php. Apply Web Application Firewall (WAF) rules to detect and block XSS payloads. Restrict access to db_loader.php to authorized administrators only and implement Content Security Policy (CSP) headers.
قم بترقية Open ISES Tickets إلى الإصدار 3.44.2 أو أحدث فورًا. طبق التحقق من صحة المدخلات وترميز المخرجات لجميع معاملات POST في ملف db_loader.php. طبق قواعد جدار حماية تطبيقات الويب للكشف عن حمولات XSS وحجبها. قيد الوصول إلى db_loader.php للمسؤولين المصرحين فقط وطبق رؤوس سياسة أمان المحتوى.