Программа: Utopia News Pro 1.1.3 

Уязвимость позволяет удаленному пользователю произвести XSS нападение и выполнить произвольные SQL команды в базе данных приложения. 

1. Межсайтовый скриптинг возможен из-за недостаточной обработки входных данных перед отображением их в браузере. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. 

Примеры:

http://[target]/[path]/header.php?sitetitle= </title><script>alert(document.cookie)</script><!—

http ://[target]/[path]/footer.php?version= < script>alert(document.cookie)</script>

http://[target]/[path]/footer.php?query_count= < script>alert(document.cookie)</script> 

2. SQL-инъекция возможна при выключенной опции magic_quotes из-за недостаточной проверки входных данных в параметре ‘newsid’ сценария ‘news.php’. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.



Оставить мнение