Программа: e-publish 2.0
Уязвимость позволяет удаленному пользователю произвести XSS нападение и
выполнить произвольные SQL команды в базе данных приложения.
1. Уязвимость существует при обработке входных данных в параметре "id" сценария
"printer_friendly.cfm". Удаленный пользователь может с помощью специально
сформированного запроса выполнить произвольные SQL команды в базе данных
приложения.
Пример:
/printer_friendly.cfm?id=[SQL]
2. Уязвимость существует из-за недостаточной обработки входных данных в
параметрах "obcatid" и "comid" в сценарии "show.cfm". Удаленный пользователь
может с помощью специально сформированного запроса выполнить произвольный код
сценария в браузере жертвы в контексте безопасности уязвимого сайта.
Пример:
/show.cfm?id=274&obcatid=10[XSS]
/show.cfm?id=279&how=5&obcatid=9&shfrm=1&comid=[XSS]
