Программа: web content management
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и создать административную учетную запись в приложении.
1. Межсайтовый скриптинг возможен из-за недостаточной проверки входных данных. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта.
Примеры:
http://[target]/[path]/Includes/validsession.php?strRootpath= ');}//%20--></script><script>a lert(document.cookie)</script>
http://[target]/[path]/Admin/News/List.php?strTable=<script> alert(document.cookie)</script><!--
2. Удаленный пользователь может с помощью специально сформированного URL создать учетную запись администратора.
Пример:
http://[target]/[path]/Admin/Users/AddModifyInput.php
