Программа: phProfession 2.5 

Несколько уязвимостей обнаружено в phProfession. Удаленный пользователь может внедрить SQL команды, выполнить XSS нападение и определить инсталляционный путь. 

1. SQL инъекция: 

http://localhost/postnuke0726/modules.php? op=modload&name=phprofession&file
=index&offset=[SQL]

2. Раскрытие инсталляционного пути: 

http://localhost/postnuke0726/ modules/phprofession/upload.php

3. XSS: 

http://localhost/postnuke0726/modules.php?op =modload&name=phprofession&file=
upload&jcode=[xss code here]



Оставить мнение