Программа: Nuked-Klan 1.x

Уязвимость позволяет удаленному пользователю удалять произвольные блоки. Она возникает из-за того, что удаление блоков производится простым HTTP GET запросом, без проверки достоверности или его подтверждения. Таким образом непривилегированный пользователь может сконструировать сообщение, которое при просмотре администратором удалит произвольный блок.

Пример:

http://[host]/index.php?file=Admin&page=block&op=del_block&bid=[block ID]



Оставить мнение