Программа: PHP Surveyor 0.98 stable
Обнаруженные уязвимости позволяет
удаленному пользователю произвести XSS
нападение и выполнить произвольные SQL
команды в базе данных приложения.
SQL-инъекция возможна из-за недостаточной
обработки входных данных в сценариях browse.php,
dataentry.php, export.php, database.php, admin.php, labels.php, dumplabel.php,
conditions.php , spss.php, deletesurvey.php, dumpsurvey.php и statistics.php.
Удаленный пользователь может с помощью
специально сформированного запроса
выполнить произвольные SQL команды в базе
данных приложения.
Отсутствует обработка входных данных в
сценариях browse.php, dataentry.php и export.php. Удаленный
пользователь может с помощью специально
сформированного URL выполнить произвольный
HTML сценарий в браузере жертвы в контексте
безопасности уязвимого сайта.
Удаленный пользователь может
непосредственно вызвать один из уязвимых
сценариев и получить данные об
установочной директории приложения.
Уязвимые сценарии: html.php, sessioncontrol.php,
dumpquestion.php, question.php, survey.php и group.php.
