Программа: Ultimate Auction 3.67 и более ранние версии

Уязвимость существует из-за недостаточной обработки входных данных в параметре "item"
сценария "item.pl" и параметре "category" сценария "itemlist.pl". Удаленный
пользователь может с помощью специально сформированного запроса выполнить
произвольный код сценария в браузере жертвы в контексте безопасности уязвимого
сайта.

Пример:

http://[victim]/cgi-local/auktion/item.pl/item.pl?item=[code]
http://[victim]/cgi-local/auktion/itemlist.pl?category=[code]
 



Оставить мнение