Joseph.giron13 reportou algumas falhas no GWExtranet, as quais podem ser exploradas por usuários maliciosos para revelar informações importantes do sistema e conduzir ataques de inserção de scripts.

1) Alguns parâmetros enviado pelo módulo de criação não é corretamente verificado. Este erro pode ser explorado para inserir conteúdo HTML e qualquer outro código de script, os quais serão executados na sessão do browser do visitante, quando este visitar o site afetado....

2) Os parâmetros dos arquivos "file" e "template" contém certos tipos de ações (ex.: sendto, nbfile) em gwextranet/scp.dll e as mesmas não são corretamente verificadas quando incluem arquivos. Este problema pode ser explorado para incluir arquivos locais de forma arbitrária. Ex.: Em ataques de "diretório transversal".

Solução:
Filtrar caractéres maliciosos.

Informado/descoberto por:
Joseph.giron13