Программа: Bitrix Site Manager 4.x
Удаленный пользователь может выполнить CSS
нападение, получить важные данные и
перенаправить пользователя на другие сайты.
1. Ввод, передающийся в параметрах
административной секции не проверяется
перед использованием. Нападающий может
выполнить произвольные скрипты в контексте
уязвимого сайта. Для эксплуатации
требуется доступ к административной секции.
2. Доступ к bitrix/updates/updater.log не ограничен,
нападающий может получить важные данные.
3. Ввод, передающийся к параметру back_url не
проверяется перед использованием, это
может использоваться для перенаправления
пользователя на другие сайты.
