MK-AUTH hasta 19.01 K4.9 permite CSRF para cambios de contraseña a través del URI central / executetar_central.php? Acao = altsenha_princ.
MK-AUTH hasta 19.01 K4.9 permite XSS a través del parámetro de tipo admin / logs_ajax.php. Un atacante puede aprovechar esto para leer la cookie centralmka2 (token de sesión), que no está configurada como HTTPOnly.
Si tienen algun problema con este sitio consulten las referencias indicadas mas abajo
Referencias:
https://gist.github.com/alacerda/98853283be6009e75b7d94968d50b88e
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
Fecha actualización el 2021-01-06. Fecha publicación el 2021-01-06. Categoría: vulnerabilidad Autor: Oscar olg Mapa del sitio Fuente: NIST