Accounts Accounting 7.02 – Persistent Cross-Site Scripting
# Exploit Title: Contabilidade de contas expressas 7.02 – Script persistente entre sites
# Exploit Autor: Debashis Pal
# Data: 2019-10-16
# Página inicial do fornecedor: https://www.nchsoftware.com
# Fonte: https://www.nchsoftware.com/accounting/index.html
# Versão: Contabilidade de contas expressas v7.02
# CVE: N / D
# Testado em: Windows 7 SP1 (32 bits)
# Sobre a contabilidade de contas expressas v7.02
=========================================
O Express Accounts é um software profissional de contabilidade empresarial, perfeito para pequenas empresas.
# Vulnerabilidade
================
Script de site cruzado persistente (XSS).
# PoC
======
1. Faça login como usuário não privilegiado autenticado no serviço de ativação da Web do Express Accounts Accounting v7.02, isto é, http: //A.B.C.D: 98 [Instalação padrão].
2. Em “Faturas”, Lista de faturas -> Exibir faturas -> Adicionar nova fatura -> Cliente: campo colocar </script> <script> alerta (‘XSS’); </script>
Salve a alteração.
ou
Em “Ordens do cliente”
Pedidos de venda -> exibir Pedidos -> Adicionar novo pedido -> Novo pedido de vendas -> Cliente: campo colocar </script> <script> alerta (‘XSS’); </script>
Salve a alteração.
ou
Em “Itens”
Itens -> Adicionar novo item-> Campo do item: coloque </script> <script> alert (‘XSS’); </script>
Salve a alteração.
ou
Em “Clientes”
Clientes -> Adicionar novo cliente -> Nome do cliente: coloque </script> <script> alert (‘XSS’); </script>
Salve a alteração.
ou
Em “Citações”
Cotações -> Visualizar cotações -> Adicionar nova cotação -> Cliente: colocar </script> <script> alerta (‘XSS’); </script>
Salve a alteração.
3. Faça login no usuário com privilégio ou não autenticado autenticado no serviço de ativação da Web do Express Accounts v7.02 e visite qualquer uma das seções Faturas / Pedidos de venda / Itens / Clientes / Cotações, a carga útil persistente do XSS será executada.
# Cronograma de divulgação
======================
Data de descoberta da vulnerabilidade: 15-Sep-2019.
Notificação de vulnerabilidade ao fornecedor por meio do formulário da web fornecido pelo fornecedor: 15-Sep-2019, 19-Sep-2019, 26-Sep-2019, sem respostas.
Envie exploit-db: 16-Oct-2019.
# Aviso Legal
=============
As informações contidas neste comunicado são fornecidas “no estado em que se encontram”, sem garantias ou garantias de adequação ao uso ou não.
O autor não é responsável por qualquer uso indevido das informações aqui contidas e não se responsabiliza por qualquer dano causado pelo uso ou uso indevido dessas informações.
O autor proíbe qualquer uso mal-intencionado de informações ou explorações relacionadas à segurança pelo autor ou por qualquer outro local.