Программа: phProfession 2.5
Несколько уязвимостей обнаружено в phProfession. Удаленный пользователь может внедрить SQL команды, выполнить XSS нападение и определить инсталляционный путь.
1. SQL инъекция:
http://localhost/postnuke0726/modules.php? op=modload&name=phprofession&file
=index&offset=[SQL]
2. Раскрытие инсталляционного пути:
http://localhost/postnuke0726/ modules/phprofession/upload.php
3. XSS:
http://localhost/postnuke0726/modules.php?op =modload&name=phprofession&file=
upload&jcode=[xss code here]