Несколько уязвимостей в проверке правильности ввода обнаружены в myPHPNuke. Удаленный атакующий может выполнять XSS нападения против myPHPNuke пользователя.
Сценарий links.php не фильтрует данные, представленные пользователем в нескольких переменных. В результате удаленный атакующий может внедрить произвольный код сценария в сгенерированные страницы, который может использоваться для кражи опознавательной информации, хранящейся в куки пользователя. Пример:
http://WEB/myphpnuke/links.php?op=MostPopular&ratenum= [scr!pt]alert(documen t.cookie);[/scr!pt]&ratetype=percent
http://WEB/myphpnuke/links.php?op=search&query= [scr!pt]alert('tacettin@olympos.org');[/scr!pt]?query=