OneOrZero Helpdesk的common.php的stripScripts函数中存在不完整黑名单漏洞,远程攻击者执行跨站脚本攻击并注入任意web脚本或HTML可以借助没有对(1) tcreate.php或(2) tupdate.php的描述参数的SCRIPT标签的XSS序列,如运行一个b标签事件。
OneOrZero Helpdesk的common.php的stripScripts函数中存在不完整黑名单漏洞,远程攻击者执行跨站脚本攻击并注入任意web脚本或HTML可以借助没有对(1) tcreate.php或(2) tupdate.php的描述参数的SCRIPT标签的XSS序列,如运行一个b标签事件。