Программа: SimpleBlog 2.1, возможно более ранние версии
Уязвимость позволяет удаленному пользователю произвести XSS нападении и
выполнить произвольные SQL команды в базе данных приложения.
1. Уязвимость существует из-за недостаточной обработки входных данных в
параметре "month". Удаленный пользователь может с помощью специально
сформированного запроса выполнить произвольные SQL команды в базе данных
приложения. Пример:
http://[victim]/?view=archives&month=[code]&year=2006
2. Уязвимость существует из-за недостаточной обработки входных данных в
различных полях формы при создании комментария. Удаленный пользователь может с
помощью специально сформированного запроса выполнить произвольный код сценарий в
браузере жертвы в контексте безопасности уязвимого сайта.
