Open ISES Tickets before 3.44.2 contains a reflected cross-site scripting vulnerability in delete_module.php that allows authenticated attackers to inject arbitrary JavaScript by passing an unsanitized value through the multiple POST parameters (module_choice, flag, confirmation) directly into rendered HTML content and form action attributes. Attackers can craft a malicious request containing a JavaScript payload that executes in the victim's browser when the response is rendered.
Open ISES Tickets before version 3.44.2 contains a reflected XSS vulnerability in delete_module.php allowing authenticated attackers to inject arbitrary JavaScript through unsanitized POST parameters. The vulnerability affects module_choice, flag, and confirmation parameters that are directly rendered into HTML content and form attributes.
ثغرة XSS انعكاسية في نظام إدارة تذاكر Open ISES تسمح للمستخدمين المصرحين بحقن كود JavaScript ضار عبر معاملات POST غير المعالجة في ملف delete_module.php. يمكن للمهاجم إنشاء طلب خبيث يحتوي على حمولة JavaScript تُنفذ في متصفح الضحية عند عرض الاستجابة.
نظام Open ISES Tickets قبل الإصدار 3.44.2 يحتوي على ثغرة XSS انعكاسية في ملف delete_module.php تسمح للمهاجمين المصرحين بحقن JavaScript عشوائي عبر معاملات POST غير المعالجة. تؤثر الثغرة على معاملات module_choice و flag و confirmation التي يتم عرضها مباشرة في محتوى HTML وسمات النماذج.
Upgrade Open ISES Tickets to version 3.44.2 or later immediately. Implement input validation and output encoding for all POST parameters (module_choice, flag, confirmation) in delete_module.php. Apply Content Security Policy (CSP) headers to prevent inline script execution. Conduct security code review of all form handling functions and implement parameterized output encoding.
قم بترقية Open ISES Tickets إلى الإصدار 3.44.2 أو أحدث فوراً. طبق التحقق من صحة المدخلات وترميز المخرجات لجميع معاملات POST في delete_module.php. طبق رؤوس سياسة أمان المحتوى (CSP) لمنع تنفيذ البرامج النصية المضمنة. أجرِ مراجعة أمان الكود لجميع وظائف معالجة النماذج وطبق ترميز المخرجات المعاملي.