Программа: Naxtor e-directory 1.0
Обнаруженные уязвимости позволяют
удаленному пользователю произвести XSS
нападение и выполнить произвольные SQL
команды в базе данных приложения.
1. SQL-инъекция возможна из-за недостаточной
обработки входных данных в переменной password
на административной странице авторизации.
Удаленный пользователь может с помощью
специально сформированного запроса
выполнить произвольные SQL команды в базе
данных. Используя эту уязвимость
злоумышленник может получить
административный доступ к web приложению,
загрузить и выполнить произвольный PHP
сценарий на целевой системе.
2. Межсайтовый скриптинг возможен из-за
недостаточной обработки входных данных в
параметре message сценария message.asp. Удаленный
пользователь может с помощью специально
сформированного запроса выполнить
произвольный HTML сценарий в браузере жертвы
в контексте безопасности уязвимого сайта.
