Open ISES Tickets before 3.44.2 contains a reflected cross-site scripting vulnerability in ics214.php that allows authenticated attackers to inject arbitrary JavaScript by passing an unsanitized value through the frm_add_str POST parameter directly into an HTML form hidden input value attribute. Attackers can craft a malicious request containing a JavaScript payload that executes in the victim's browser when the response is rendered.
Open ISES Tickets before version 3.44.2 contains a reflected XSS vulnerability in ics214.php where authenticated attackers can inject malicious JavaScript through the frm_add_str POST parameter. The vulnerability allows arbitrary script execution in victims' browsers when crafted requests are rendered.
يؤثر هذا الضعف على Open ISES Tickets قبل الإصدار 3.44.2 ويسمح للمهاجمين المصرحين بحقن JavaScript عبر معامل frm_add_str في ملف ics214.php. يتم تنفيذ البرنامج النصي الضار في متصفح الضحية عند عرض الاستجابة، مما قد يؤدي إلى سرقة الجلسات أو البيانات الحساسة.
Open ISES Tickets قبل الإصدار 3.44.2 يحتوي على ثغرة XSS منعكسة في ملف ics214.php حيث يمكن للمهاجمين المصرحين بالوصول حقن JavaScript ضار عبر معامل POST frm_add_str. تسمح الثغرة بتنفيذ برامج نصية عشوائية في متصفحات الضحايا عند عرض الطلبات المصممة.
Upgrade Open ISES Tickets to version 3.44.2 or later immediately. Implement input validation and output encoding for all user-supplied parameters, particularly the frm_add_str POST parameter. Apply context-appropriate HTML entity encoding before rendering values in HTML attributes. Deploy Web Application Firewall (WAF) rules to detect and block XSS payloads. Conduct security code review of ics214.php and similar components.
قم بترقية Open ISES Tickets إلى الإصدار 3.44.2 أو أحدث على الفور. قم بتطبيق التحقق من صحة الإدخال وترميز الإخراج لجميع المعاملات المزودة من قبل المستخدم، خاصة معامل POST frm_add_str. طبق ترميز كيانات HTML المناسب للسياق قبل عرض القيم في سمات HTML. قم بنشر قواعد جدار حماية تطبيقات الويب (WAF) للكشف عن حمولات XSS وحجبها. أجرِ مراجعة أمان الكود لملف ics214.php والمكونات المماثلة.