Программа: Ocean12 Calendar Manager Pro 1.x
Уязвимость позволяет удаленному пользователю произвести XSS нападение и
выполнить произвольные SQL команды в базе данных приложения.
1. Уязвимость существует из-за недостаточной обработки входных данных в
параметре "date" в сценарии admin/main.asp, в параметре "SearchFor" в сценарии
admin/view.asp, и параметре "ID" в сценарии admin/edit.asp. Удаленный
пользователь может с помощью специально сформированного URL выполнить
произвольные SQL команды в базе данных приложения.
Для успешной эксплуатации уязвимости требуются административные привилегии в
приложении.
2. Уязвимость существует из-за недостаточной обработки входных данных в
параметре "date" в сценарии admin/main.asp. Удаленный пользователь может с
помощью специально сформированного запроса выполнить произвольный код сценарий в
браузере жертвы в контексте безопасности уязвимого сайта.
