Программа: phProfession 2.5
Несколько уязвимостей обнаружено в phProfession. Удаленный пользователь может внедрить SQL команды, выполнить XSS нападение и определить инсталляционный путь.
1. SQL инъекция:
http://localhost/postnuke0726/modules.php? op=modload&name=phprofession&file=
index&offset=[SQL]
2. Раскрытие инсталляционного пути:
http://localhost/postnuke0726/ modules/phprofession/upload.php
3. XSS:
calhost/postnuke0726/modules.php?op= modload&name=phprofession&file=upload&jcode=[xss
code here]