Программа: EasyPHPCalendar

Уязвимость позволяет удаленному
пользователю произвести XSS нападение и
получить данные об установочной директории
приложения на сервере. Уязвимость
существует при обработке входных данных в
параметре 'yr' сценария 'index.php'. Удаленный
пользователю может с помощью специально
сформированного URL выполнить произвольный
HTML сценарий в браузере жертвы в контексте
безопасности уязвимого сайта.

Пример:

http://[target]/index.php?mo=04&yr=[XSS]

Существует ошибка при обработке
некорректных данных в параметре ev сценария
'popup.php'. Удаленный пользователь может с
помощью специально сформированного URL
получить данные об установочной директории
приложения на сервере.

Пример:

http://[target]/functions/popup.php?ev=f00b4r&readFile0 &readSQL=2&showCat=&oc=2

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии