Программа: bBlog 0.7.4

Уязвимость позволяет удаленному
пользователю произвести XSS нападение и
выполнить произвольные SQL команды в базе
данных уязвимого приложения. Межсайтовый
скриптинг возможен из-за недостаточной
обработки HTML тегов в сценарии index.php.
Удаленный пользователь может создать
специальным образом сообщение, и выполнить
произвольный HTML сценарий в браузере жертвы
в контексте безопасности уязвимого сайта.
Удаленный пользователь может с помощью
специально сформированного URL выполнить
произвольные SQL команды в базе данных
приложения. Уязвимость существует из-за
недостаточной фильтрации данных в
параметре postid.

Пример:

http://[target]/[blogpath]/?postid=1%20or%201=1

Оставить мнение