Программа: TUTOS 1.1.20031017
Несколько уязвимостей обнаружено в TUTOS. Удаленный пользователь может выполнить SQL инъекцию, определить инсталляционный путь и выполнить XSS нападение.
Программа не проверяет данные, представленные пользователем, перед их отображением в браузере. Уязвимы следующие сценарии:
http://[tutos]/php/company_new.php
http://[tutos]/php/app_new.php
http://[tut os]/php/task_new.php
http://[tutos]/php/[xxxx]_new.php
Удаленный пользователь может представить специально обработанный HTTP запрос, чтобы заставить систему отобразить инсталляционный путь и другую, потенциально чувствительную информацию.
Пример:
http://[tutos]/php/note/note_overview.php?id=1;
Также удаленный пользователь может внедрить SQL команды, которые будут выполнены на основной базе данных.
