Хакер #311. Сетевые протоколы под микроскопом
Программа: xFlow 5.46.11, возможно другие версии.
Уязвимость позволяет удаленному пользователю произвести XSS нападение и
выполнить произвольные SQL команды в базе данных приложения.
1. Уязвимость существует из-за недостаточной обработки входных данных в
параметрах "position" и "id" в сценарии members_only/index.cgi. Удаленный
пользователь может с помощью специально сформированного URL выполнить
произвольные SQL команды в базе данных приложения.
2. Уязвимость существует из-за недостаточной обработки входных данных в
параметрах "level", "position", "id" и "action" в сценарии members_only/index.cgi,
и в параметре "page" в сценарии customer_area/index.cgi. Удаленный пользователь
может с помощью специально сформированного запроса выполнить произвольный код
сценарий в браузере жертвы в контексте безопасности уязвимого сайта.
