Программа: MyNews 1.6.2, возможно более ранние версии.

Уязвимость позволяет удаленному пользователю произвести XSS нападение.
Уязвимость существует из-за недостаточной обработки входных данных в параметрах
"hash" и "page" в сценарии "mynews.inc.php". Удаленный пользователь может с
помощью специально сформированного запроса выполнить произвольный код сценария в
браузере жертвы в контексте безопасности уязвимого сайта.

Пример:

http://victim/path/mynews.inc.php?hash="><script>alert(/DreamlorD/)
</script>http://victim/path/mynews.inc.php?hash=
cce496a942d7279c14d7da556c14c7b6&mnid=2&page="> <script>alert(/DreamlorD/)</script>

 



Оставить мнение