Программа: PHP-Nuke 6.x-7.6
Уязвимость позволяет злоумышленнику
произвести XSS нападение и получить доступ к
важным данным пользователей. Уязвимость
существует в модуле Downloads при обработке
параметра newdownloadshowdays и модуле Web_Links при
обработке параметра newlinkshowdays.
Злоумышленник может с помощью специально
сформированного URL выполнить произвольный
HTML сценарий в браузере целевого
пользователя в контексте безопасности
уязвимого сайта. Злоумышленник может
получить данные об установочной директории
приложения.
Примеры:
http://[target]/nuke75/modules.php?name=Downloads&d_op=
NewDownloads&newdownloadshowdays=[xss code here]
http://[target]/nuke75/modules.php?name=Web_Links&l_op= NewLinks&
newlinkshowdays=[xss code here]
http://[target]/nuke75/db/db.php
http://[target]/nuke75/index.php?inside_mod=1
http://[target]/nuke75/modules.php?name=Downloads&d_op=menu
http://[target]/nuke75/modules.php?name=Web_Links&l_op=menu
