fbpx

Express Invoice 7.12 – ‘Customer’ Persistent Cross-Site Scripting

Express Invoice 7.12 – ‘Customer’ Persistent Cross-Site Scripting

# Exploit Title: Fatura expressa 7.12 – Script entre sites persistente do ‘cliente’
# Exploit Autor: Debashis Pal
# Data: 2019-10-13
# Página inicial do fornecedor: https://www.nchsoftware.com/
# Fonte: https://www.nchsoftware.com/invoice/index.html
# Versão: Express Invoice v7.12
# CVE: N / D
# Testado em: Windows 7 SP1 (32 bits)

# Sobre a fatura expressa v7.12
==============================
A Fatura Expressa permite criar faturas que você pode imprimir, enviar por e-mail ou fax diretamente para os clientes, para pagamentos mais rápidos.

# Vulnerabilidade
================
Script de site cruzado persistente (XSS).

# PoC
======

1. Faça login como usuário não privilegiado autenticado no serviço de ativação da Web do Express Invoice versão 7.12, ou seja, http: //A.B.C.D: 96 [Instalação padrão].

2. Em “Faturas”, lista de faturas -> Exibir faturas -> Adicionar nova fatura -> Cliente: campo colocar </script> <script> alerta (‘XSS’); </script>

Salve a alteração.

ou

Em “Itens”
Itens -> Adicionar novo item-> Campo do item: coloque </script> <script> alert (‘XSS’); </script>

Salve a alteração.

ou

Em “Clientes”
Clientes -> Adicionar novo cliente -> Nome do cliente: coloque </script> <script> alert (‘XSS’); </script>

Salve a alteração.

ou

Em “Citações”
Cotações -> Visualizar cotações -> Adicionar nova cotação -> Cliente: colocar </script> <script> alerta (‘XSS’); </script>

Salve a alteração.

3. Faça login no usuário com privilégio ou não autenticado autenticado no serviço de ativação da Web Express Invoice v7.12 e visite qualquer seção de Faturas / Itens / Clientes / Cotações, a carga útil persistente do XSS será executada.

# Cronograma de divulgação
======================
Data de descoberta da vulnerabilidade: 12-Sep-2019.
Notificação de vulnerabilidade ao fornecedor por meio do formulário fornecido na Web: 12 de setembro de 2019, 13 de setembro de 2019, 19 de setembro de 2019, 26 de setembro de 2019, sem respostas.
Enviar exploit-db: 14-Oct-2019.

# Aviso Legal
=============
As informações contidas neste comunicado são fornecidas “no estado em que se encontram”, sem garantias ou garantias de adequação ao uso ou não.
O autor não é responsável por qualquer uso indevido das informações aqui contidas e não se responsabiliza por qualquer dano causado pelo uso ou uso indevido dessas informações.
O autor proíbe qualquer uso mal-intencionado de informações ou explorações relacionadas à segurança pelo autor ou por qualquer outro local.

11 de novembro de 2019

Sobre nós

A Linux Force Brasil é uma empresa que ama a arte de ensinar. Nossa missão é criar talentos para a área de tecnologia e atender com excelência nossos clientes.

CNPJ: 13.299.207/0001-50
SAC:         0800 721 7901

[email protected]

Comercial  Comercial: (11) 3796-5900

Suporte:    (11) 3796-5900
[email protected]

Copyright © Linux Force Security  - Desde 2011.