Программа: UseBB 0.5.1 и более ранние версии
Уязвимость позволяет удаленному
пользователю произвести XSS нападение и
выполнить произвольные SQL команды в базе
данных приложения.
1. Межсайтовый скриптинг возможен из-за
недостаточной проверки входных данных в
функции expression() при обработке цвета в BBCode.
Злоумышленник может с помощью специально
сформированного запроса выполнить
произвольный HTML сценарий в браузере жертвы
в контексте безопасности уязвимого сайта.
2. SQL-инъекция возможна из-за отсутствия
обработки входных данных в переменной _REQUEST
в механизме поиска. Удаленный пользователь
может выполнить произвольные SQL команды в
базе данных приложения.
