Программа: EasyPHPCalendar
Уязвимость позволяет удаленному
пользователю произвести XSS нападение и
получить данные об установочной директории
приложения на сервере. Уязвимость
существует при обработке входных данных в
параметре 'yr' сценария 'index.php'. Удаленный
пользователю может с помощью специально
сформированного URL выполнить произвольный
HTML сценарий в браузере жертвы в контексте
безопасности уязвимого сайта.
Пример:
http://[target]/index.php?mo=04&yr=[XSS]
Существует ошибка при обработке
некорректных данных в параметре ev сценария
'popup.php'. Удаленный пользователь может с
помощью специально сформированного URL
получить данные об установочной директории
приложения на сервере.
Пример:
http://[target]/functions/popup.php?ev=f00b4r&readFile0 &readSQL=2&showCat=&oc=2
