Программа: ConPresso CMS 4.x
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.
Уязвимость существует из-за недостаточной обработки входных данных в параметре "nr" сценариями _rubric/details.php и _rubric/index.php, а также – в параметре "pos" сценарием _rubric/index.php. Это может быть использовано атакующим для инъекции произвольного SQL кода. Поскольку некоторые части SQL запроса возвращаются в сообщении об ошибке, злоумышленник также может выполнить произвольный HTML-сценарий в браузере пользователя в контексте безопасности уязвимого сайта.
