<div dir="ltr">The report suggests that some variables are sanitised, but the two that were exploitable were not. It would probably be possibly to simply apply the sanitisation code to these two variables, and it would remove the XSS vulnerability. I haven't reviewed the code, though.<div><br></div><div>I'm actually trying to understand how this could be exploited. Can you explain?</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, 15 Jul 2020 at 22:46, Gatis Anerauds <<a href="mailto:gatis.anee@gmail.com">gatis.anee@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Hi,</div><div><br></div><div>Looking for help.<br></div><div>Does anyone know something about this rather old XSS vulnerability?</div><div>
<a href="https://infosec.rm-it.de/2012/04/08/xss-in-xymon/" target="_blank">https://infosec.rm-it.de/2012/04/08/xss-in-xymon/</a> <br></div><div>It is kind of still there in the 4.3.30 version.<br></div><div>Any ideas how can it be solved?</div><div><br></div><div>Regards</div><div>Gatis<br></div><div></div></div>
_______________________________________________<br>
Xymon mailing list<br>
<a href="mailto:Xymon@xymon.com" target="_blank">Xymon@xymon.com</a><br>
<a href="http://lists.xymon.com/mailman/listinfo/xymon" rel="noreferrer" target="_blank">http://lists.xymon.com/mailman/listinfo/xymon</a><br>
</blockquote></div>