Pixar's Tractor software, versions 2.2 and earlier, contain a stored cross-site scripting vulnerability in the field that allows a user to add a note to an existing node. The stored information is displayed when a user requests information about the node. An attacker could insert Javascript into this note field that is then saved and displayed to the end user. An attacker might include Javascript that could execute on an authenticated user's system that could lead to website redirects, session cookie hijacking, social engineering, etc. As this is stored with the information about the node, all other authenticated users with access to this data are also vulnerable.
El software Tractor, de Pixar, en versiones 2.2 y anteriores, contiene una vulnerabilidad Cross-Site Scripting (XSS) persistente en el campo que permite a un usuario añadir una nota a un nodo existente. La información almacenada se muestra cuando un usuario solicita información sobre el nodo. Un atacante podría insertar JavaScript en este campo note, que luego se guarda y se muestra al usuario. Un atacante podría incluir JavaScript que podría ejecutarse en el sistema de un usuario autenticado y conducir a redirecciones de sitios web, secuestro de cookies de sesión, ingeniería social, etc. Como esto se almacena con la información sobre el nodo, el resto de usuarios autenticados con acceso a estos datos también son vulnerables.
