Программа: Komodo CMS 2.1 и более ранние версии
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS
нападение и выполнить произвольные SQL команды в базе данных приложения.
1. SQL-инъекция возможна из-за недостаточной обработки входных в полях username
и password на странице входа. Удаленный пользователь может с помощью специально
сформированного запроса выполнить произвольные SQL команды в базе данных
приложения. 2. Межсайтовый скриптинг возможен из-за недостаточной обработки
входных данных в параметре "Cat" сценария "default.asp" и параметре "accessdenied"
в сценарии "admin/default.asp". Удаленный пользователь может с помощью
специально сформированного запроса выполнить произвольный HTML код в браузере
жертвы в контексте безопасности уязвимого сайта.
