Программа: NZ Ecommerce

Уязвимость позволяет удаленному
пользователю произвести XSS нападение и
выполнить произвольные SQL команды в базе
данных приложения.

1. Уязвимость существует из-за
недостаточной обработки входных данных в
параметрах "informationID" and "ParentCategory"
сценария "index.php". Удаленный
пользователь может с помощью специально
сформированного URL выполнить произвольные
SQL команды в базе данных приложения.

Примеры:

/index.php?action=Information&informationID=[SQL]
/index.php?action=DisplayOverviewproduct&ParentCategory=[SQL]

2. Уязвимость существует из-за
недостаточной обработки входных данных в
параметре "action" в сценарии "index.php".
Удаленный пользователь может с помощью
специально сформированного запроса
выполнить произвольный код сценарий в
браузере жертвы в контексте безопасности
уязвимого сайта.



Оставить мнение