Программа: FlatNuke 2.5.6

Обнаруженные уязвимости позволяют
удаленному пользователю произвести XSS
нападение и просмотреть произвольные файлы
на системе.

1. Уязвимость существует из-за
недостаточной обработки входных данных в
параметрах "user" и "quale" сценария
index.php. Удаленный пользователь может с
помощью специально сформированного URL,
содержащего символы обхода каталога
просмотреть произвольные файлы на системе.

Пример:

http://[host]/forum/index.php?op=profile&user=[file]
http://[host]/forum/index.php?op=newtopic&mode=ris &quale=[file]&page=1

2. Межсайтовый скриптинг возможен из-за
недостаточной обработки входных данных в
параметре user сценария index.php перед выводом
данных в браузер пользователя. Удаленный
пользователь может с помощью специально
сформированного URL выполнить произвольный
HTML сценарий в браузере жертвы в контексте
безопасности уязвимого сайта. Пример:

http://[host]/forum/index.php?op= profile&user=[code]



Оставить мнение