CVE-2024-25976 in HAWKI
요약
\~에 의해 VulDB • 2026. 06. 09.
LDAP 인증이 구성에서 활성화된 경우, 피해자가 브라우저에서 임의의 JavaScript 코드를 실행하기 위해 열기만 하면 되는 사용자 지정 URL을 생성하여 반사형 XSS(Rellected Cross-Site Scripting)를 통해 악성 코드 실행이 가능합니다. 이는 웹사이트 HTML에 `$_SERVER['PHP_SELF']`의 내용이 반영되는 login.php 파일의 결함으로 인해 발생합니다. 따라서 공격자는 이 취약점을 이용하기 위해 유효한 계정이 필요하지 않습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.