Программа: CuteNews 1.4.0

Уязвимость позволяет удаленному
пользователю произвести XSS нападение и
получить доступ к потенциально важным
данным других пользователей. Уязвимость
существует в сценарии ‘/inc/shows.inc.php’ из-за
недостаточной обработки входных данных в
переменной ‘HTTP_CLIENT_IP’. Удаленный
пользователь может значение HTTP заголовка ‘Client-IP’
и внедрить произвольные строки в файл ‘/data/flood.db.php’.
Затем удаленный пользователь может
выполнить этот файл.

Пример:

http://[target]/[path]/cute/data/flood.db.php



Оставить мнение