• Партнер

  • Программа: phpBB 2.0.17 и более ранние версии

    Обнаруженные уязвимости позволяют
    удаленному пользователю произвести XSS
    нападение, выполнить произвольные SQL
    команды в базе данных приложения и
    выполнить произвольный PHP код на целевой
    системе.

    1. Межсайтовый скриптинг возможен из-за
    недостаточной обработки входных данных в
    параметре error_msg сценария usercp_register.php,
    параметре 'forward_page' сценария login.php и
    параметре 'list_cat' сценария search.php. Удаленный
    пользователь может с помощью специально
    сформированного URL выполнить произвольный
    HTML сценарий в браузере жертвы в контексте
    безопасности уязвимого сайта.

    2. SQL-инъекция возможна из-за недостаточной
    обработки входных данных в параметре 'signature_bbcode_uid'
    сценария usercp_register.php и может быть
    эксплуатирована посредством вставки
    произвольных выражений типа 'field=xxx' в запрос.
    Уязвимость существует при выключенной
    опции magic_quotes_gpc.

    3. Уязвимость обнаружена при обработке
    входных данных в параметре 'signature_bbcode_uid'
    сценария usercp_register.php. Удаленный
    пользователь может изменить значения,
    которые передаются в функцию preg_replace() и
    выполнить произвольный PHP код на целевой
    системе.

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии