Joomla rsmonials Remote Cross Site Exploit

Anything entered into the form gets rendered as HTML, so you can add tags as long as they don't include quotes (magic quotes eats them, if it's on). This component ships with settings that prevent posting by default, but the administrator page for the testimonials renders your script in its entirety. Now, when your admin goes to the com_rsmonials "Testimonials" page, your script will execute. In this example, a hidden iframe loads up the install page and installs a 'custom' module. --------------------------------------------------------------------------------------------------- Tutto quello inserito nel form viene trasformato in HTML, e' possibbile quindi inserire tags se non contengono virgolette. Questo componenete, viene dato con settaggi che prevengono il posting di default default, ma la pagina di amministrazione del componente tasforma in html lo script malevolo inserito per intero. Ecco un esempio di script Quindi, Quando l' admin si reca in com_rsmonials, la pagina "Testimonials" insomma , loscript verra' eseguito.