Программа: Simplog 0.9.2 и более ранние версии.
Обнаруженные уязвимости позволяют удаленному пользователю произвести
SQL-инъекцию и выполнить произвольный PHP сценарий на целевой системе.
1. Уязвимость существует из-за недостаточной обработки входных данных в
параметре "s" сценария "doc/index.php". Удаленный пользователь может с помощью
специально сформированного запроса выполнить произвольный PHP сценарий на
целевой системе с привилегиями Web сервера.
2. Уязвимость существует из-за недостаточной обработки входных данных в
параметре "blogid" в сценарии "index.php", и параметрах "blogid", "m" и "y" в
сценарии "archive.php". Удаленный пользователь может с помощью специально
сформированного запроса выполнить произвольные SQL команды в базе данных
приложения.
3. Уязвимость существует из-за наличия на системе тестовых сценариев "adodb/server.php"
и "adodb/tests/tmssql.php". Удаленный пользователь может выполнить произвольные
SQL команды или PHP функции на системе.
4. Уязвимость существует из-за недостаточной обработки входных данных в
параметре "btag" в сценарии "login.php". Удаленный пользователь может с помощью
специально сформированного запроса выполнить произвольный код сценария в
браузере жертвы в контексте безопасности уязвимого сайта.
