Программа: TUTOS 1.1.20031017 

Несколько уязвимостей обнаружено в TUTOS. Удаленный пользователь может выполнить SQL инъекцию, определить инсталляционный путь и выполнить XSS нападение. 

Программа не проверяет данные, представленные пользователем, перед их отображением в браузере. Уязвимы следующие сценарии: 

http://[tutos]/php/company_new.php
http://[tutos]/php/app_new.php
http://[tut os]/php/task_new.php
http://[tutos]/php/[xxxx]_new.php

Удаленный пользователь может представить специально обработанный HTTP запрос, чтобы заставить систему отобразить инсталляционный путь и другую, потенциально чувствительную информацию.

Пример: 

http://[tutos]/php/note/note_overview.php?id=1;

Также удаленный пользователь может внедрить SQL команды, которые будут выполнены на основной базе данных.



Оставить мнение