Программа: SimpleBlog 2.1, возможно более ранние версии

Уязвимость позволяет удаленному пользователю произвести XSS нападении и
выполнить произвольные SQL команды в базе данных приложения.

1. Уязвимость существует из-за недостаточной обработки входных данных в
параметре "month". Удаленный пользователь может с помощью специально
сформированного запроса выполнить произвольные SQL команды в базе данных
приложения. Пример:

http://[victim]/?view=archives&month=[code]&year=2006

2. Уязвимость существует из-за недостаточной обработки входных данных в
различных полях формы при создании комментария. Удаленный пользователь может с
помощью специально сформированного запроса выполнить произвольный код сценарий в
браузере жертвы в контексте безопасности уязвимого сайта.
 



Оставить мнение