Программа: Honeycomb Archive
Уязвимость позволяет удаленному пользователю произвести XSS нападение и
выполнить произвольные SQL команды в базе данных приложения.
1. Уязвимость существует из-за недостаточной обработки входных данных в
параметрах "div", "cat", "series" и "cat_parent" в сценарии "CategoryResults.cfm".
Удаленный пользователь может с помощью специально сформированного запроса
выполнить произвольные SQL команды на системе.
Пример:
/CategoryResults.cfm?div=7&cat=118&cat_parent=107&series=[SQL]
/CategoryResults.cfm?div=7&cat=118&cat_parent=[SQL]
/CategoryResults.cfm?div=7&cat=[SQL]
/CategoryResults.cfm?div=[SQL]
2. Межсайтовый скриптинг возможен из-за недостаточной обработки входных данных в
параметре "keyword" в сценарии "search.cfm". Удаленный пользователь может с
помощью специально сформированного запроса выполнить произвольный HTML код в
браузере жертвы в контексте безопасности уязвимого сайта.
