Vulnerabilidad en getAllPassedParams (CVE-2012-3805)

Múltiples vulnerabilidades de tipo cross-site scripting (XSS) en la función getAllPassedParams en el archivo system/functions.php en Kajona anterior a versión 3.4.2, permiten a los atacantes remotos inyectar script web o HTML arbitrario por medio del parámetro (1) absender_name, (2) absender_email o (3) absender_nachricht en la página contetnt; parámetro (4) comment_name, (5) comment_subject o (6) comment_message en el módulo postacomment; (7) parámetro module en archivo index.php; (8) parámetro action en la página admin login; parámetro (9) pv o (10) pe en una acción list en el módulo user; parámetro (11) user_username, (12) user_email, (13) user_forename, (14) user_name, (15) user_street, (16) user_mail, (17) user_city, (18) user_tel o (19) user_mobil en una acción newUser en el módulo user; parámetro (20) group_name o (21) group_desc en una acción groupNew en el módulo user; parámetro (22) name, (23) browsername, (24) seostring, (25) keywords o (26) folder_id en una acción newPage en el módulo pages; parámetro (27) element_name o (28) element_cachetime en una acción newElement en el módulo pages; (29) parámetro aspect_name en una acción newAspect en el módulo del system; parámetro (30) filemanager_name, (31) filemanager_path, (32) filemanager_upload_filter o (33) filemanager_view_filter en una acción NewRepo en el módulo filemanager; o parámetro (34) archive_title o (35) archive_path en una acción newArchive en el módulo downloads. NOTA: algunos de estos datos se obtienen de la información de terceros.