Программа: Russcom.Loginphp

Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS
нападение и обойти ограничения безопасности.

1. Уязвимость существует из-за недостаточной обработки входных данных в
параметре "Uname" сценария "register.php". Удаленный пользователь может с
помощью специально сформированного запроса выполнить произвольный код сценария в
браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует из-за недостаточной обработки входных данных в
параметрах "Email" и "Body" сценария "help.php". Удаленный пользователь может
отправить почтовое сообщение любого содержания на произвольный адрес.

Пример:

haxor@attack.com%0AContent-Type:multipart/mixed; %20boundary=frog;%0A—frog%0AContent-Type:
text/html%0A%0AMy%20Message.%0A—frog—
 



Оставить мнение