Программа: DUforum
Обнаружено несколько уязвимостей в DUforum. Удаленный атакующий может выполнить произвольные SQL команды и получить доступ к важным данным пользователей.
1. Удаленный атакующий может получить административный доступ к DUforum из-за ошибки при обработке переменных login и password.
user= admin
password= ' or '1'='1
2. Обнаружена SQL инъекция в параметре FOR_ID модуля messages.asp и в параметре MSG_ID модуля messageDetail.asp.
http://[URL]/DUforum/messages.asp? FOR_ID=1;[SQL INJECT]
http://[URL]/DUforum/messageDetail.asp? MSG_ID=1;[SQL INJECT]
3. Также, программное обеспечение не фильтрует HTML теги, что позволяет атакующему выполнить произвольный код в браузере пользователя.
