Программа: VBook 2.0 и более ранние версии.
 
Уязвимость позволяет удаленному пользователю произвести XSS нападение и
выполнить произвольные SQL команды в базе данных приложения.

1. Уязвимость существует из-за недостаточной обработки входных данных в
параметре "x" сценария "index.php". Удаленный пользователь может с помощью
специально сформированного URL выполнить произвольные SQL команды в базе данных
приложения. Удачная эксплуатация уязвимости возможна при выключенной опции "magic_quotes_gpc".

2. Уязвимость существует из-за недостаточной обработки входных данных в
параметрах "autor", "email", "www", "temat" и "tresc". Удаленный пользователь
может с помощью специально сформированного запроса выполнить произвольный код
сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

3. Уязвимость существует из-за недостаточной обработки входных данных в сценарии
"admin.php" перед сохранением их в файле "config.php". Удаленный пользователь
может выполнить произвольный PHP код на целевой системе. Для успешной
эксплуатации уязвимости, злоумышленник дожжен иметь доступ к административному
интерфейсу приложения.
 



Оставить мнение