Программа: MaxWebPortal 1.33
Уязвимость позволяет удаленному
пользователю произвести XSS нападение и
выполнить произвольные SQL команды в базе
данных приложения. SQL-инъекция возможна из-за
недостаточной фильтрации входных данных в
параметре EVENT_ID функции Update_Events() в сценарии 'events_functions.asp'.
Удаленный пользователь может с помощью
специально сформированного URL выполнить
произвольные SQL команды в базе данных
приложения. Межсайтовый скриптинг возможен
из-за недостаточной обработки URL параметра
в сценарии 'links_add_form.asp'. Удаленный
пользователь может опубликовать
специально сформированное сообщение и
выполнить произвольный HTML сценарий в
браузере жертвы в контексте безопасности
уязвимого сайта.
