Программа: Koobi 4.2.3
Уязвимость позволяет удаленному
пользователю произвести XSS нападение и
выполнить произвольные SQL команды в базе
данных уязвимого приложения.
1. Отсутствует должная фильтрация данных в
переменной area в сценарии index.php. Удаленный
пользователь может с помощью специально
сформированного URL выполнить произвольный
HTML сценарий в браузере жертвы в контексте
безопасности уязвимого сайта.
Пример:
http://[target]/index.php?area=[XSS] <./i>
2. Удаленный пользователь может также с
помощью специально сформированного
значения переменной area выполнить
произвольные SQL команды в базе данных
приложения.
Пример:
http://[target]/index.php?p=articles&area=[SQLCode]
3. Удаленный пользователь может получить
данные об установочной директории
приложения на сервере.
Пример:
http://[target]/index.php?area=1[some stuff]&p=news&newsid=1
http://[target]/index.ph p?p=news'&newsid=
