Программа: Interact 2.1.1 и более ранние версии.

Уязвимость позволяет удаленному пользователю произвести XSS нападение, выполнить
произвольные SQL команды в базе данных приложения и получить доступ к важным
данным.

1. Уязвимость существует из-за недостаточной обработки входных данных в
параметре "user_name" сценария login.php. Удаленный пользователь может с помощью
специально сформированного запроса выполнить произвольные SQL команды в базе
данных приложения.

2. Уязвимость существует из-за недостаточной обработки входных данных в
параметре "search_terms" в сценарии search.php и в различных полях при создании
учетной записи. Удаленный пользователь может с помощью специально
сформированного запроса выполнить произвольный код сценарий в браузере жертвы в
контексте безопасности уязвимого сайта.

3. Сценарий "login.php" возвращает различные ответы при неудачной попытке
авторизации, в зависимости от того, было ли указано корректное имя пользователя.
Удаленный пользователь может получить список валидных пользователей приложения.

 



Оставить мнение