Программа: iCMS
Обнаруженные уязвимости позволяют
удаленному пользователю произвести XSS
нападение и выполнить произвольные SQL
команды в базе данных приложения.
1. SQL-инъекция возможна из-за недостаточной
обработки входных данных в параметре "Event_ID"
сценария "RunScript.asp". Удаленный
пользователь может с помощью специально
сформированного запроса выполнить
произвольные SQL команды в базе данных
приложения.
2. Межсайтовый скриптинг возможен из-за
недостаточной обработки входных данных в
параметре "LoginMSG" сценария "admin/Default.asp".
Удаленный пользователь может с помощью
специально сформированного запроса
выполнить произвольный HTML код в браузере
жертвы в контексте безопасности уязвимого
сайта.
