В ObjectPlanet Opinio версии 7.6.3 и ниже была обнаружена уязвимость, позволяющая исполнить вредоносный JavaScript код на стороне клиента. Данной уязвимости был присвоен CVE-2017-10798.

Opinio — это комплексная система для создания, публикации, анализа и ведения опросов, в котором присутствует веб-интерфейс для администрирования.

Уязвимость заключается в том, что страница /admin/reportPortal.do подвержана межсайтовому скриптингу через параметр userLanguage, передаваемый методом GET. Эта страница доступна для удаленных пользователей, не прошедших проверку подлинности.

Пример эксплуатации уязвимости:

admin/reportPortal.do?userLanguage=%22%3E%3C/script%3E%3Cscript%3Ealert(1);//

Для устранения уязвимости необходимо обновится до последний версии.

Использование Web Application Firewall позволяет блокировать подобные атаки.