• Партнер

  • Программа: Jetbox CMS 2.1 SR1, возможно более ранние
    версии.

    Обнаруженные уязвимости позволяют
    удаленному пользователю произвести XSS
    нападение и выполнить произвольные SQL
    команды в базе данных приложения.

    1. Уязвимость существует при обработке
    сессий в административной секции
    приложения. Удаленный пользователь может с
    помощью специально сформированной ссылки
    получить доступ к сессии администратора
    приложения.

    2. Уязвимость существует из-за
    недостаточной обработки URL в сценарии index.php.
    Удаленный пользователь может
    переопределить значения определенных
    переменных и получить доступ к важным
    данным на системе или произвести XSS
    нападение.

    3. Уязвимость существует из-за
    недостаточной обработки входных данных в
    параметре "login" в сценарии admin/cms/index.php.
    Удаленный пользователь может с помощью
    специально сформированного запроса
    выполнить произвольный код сценария в
    браузере жертвы в контексте безопасности
    уязвимого сайта.

    4. Уязвимость существует из-за
    недостаточной обработки входных данных в
    на странице "Supply news", перед отправкой
    их сценарию formmail.php. Удаленный пользователь
    может с помощью специально сформированного
    запроса выполнить произвольный код
    сценария в браузере жертвы в контексте
    безопасности уязвимого сайта.

    5. Уязвимость существует из-за
    недостаточной обработки входных данных в URL
    на странице "Site statistics". Удаленный
    пользователь может с помощью специально
    сформированного запроса выполнить
    произвольный код сценария в браузере
    жертвы в контексте безопасности уязвимого
    сайта.

    6. Уязвимость существует из-за
    недостаточной обработки входных данных в
    поле "query_string". Удаленный пользователь
    может с помощью специально сформированного
    запроса выполнить произвольный код
    сценария в браузере жертвы в контексте
    безопасности уязвимого сайта.

    7. Уязвимость существует из-за
    недостаточной обработки входных данных в
    параметре "frontsession" в файле куки, в
    параметре "view" в сценарии index.php, и в
    параметре "login" в сценарии admin/cms/index.php.
    Удаленный пользователь может с помощью
    специально сформированного запроса
    выполнить произвольные SQL команды в базе
    данных приложения.

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии