Программа: aWebNews 1.0, возможно другие версии.
Уязвимость позволяет удаленному
пользователю произвести XSS нападение и
выполнить произвольные SQL команды в базе
данных приложения.
1. Уязвимость существует из-за
недостаточной обработки входных данных в
параметре "user123" в сценариях login.php и
fpass.php, и параметре "cid" в сценарии visview.php.
Удаленный пользователь может с помощью
специально сформированного URL выполнить
произвольные SQL команды в базе данных
приложения. Удачная эксплуатация
уязвимости возможна при выключенной опции
"magic_quotes_gpc"
. 2. Уязвимость существует из-за
недостаточной обработки входных данных в
параметрах "yname", "emailadd", "subject"
и "comment" в сценарии visview.php. Удаленный
пользователь может с помощью специально
сформированного запроса выполнить
произвольный код сценарий в браузере
жертвы в контексте безопасности уязвимого
сайта.
