Программа: Website Baker 2.5.2 

Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и загрузить произвольные файлы на сервер. 

1. Уязвимость существует при обработке параметра dir в сценарии admin/media/browse.php. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. 

2. Загрузка произвольных файлов возможна из-за недостаточной обработки расширений загружаемых файлов. Злоумышленник может создать специально сформированное имя файла, и, затем, загрузить и выполнить произвольный PHP сценарий на целевой системе.



Оставить мнение