Программа: Call Center Software 0.x
Уязвимость позволяет удаленному злоумышленнику выполнить XSS нападение, произвести SQL-инъекцию и получить несанкционированный доступ к конфиденциальным данным на целевой системе.
1) Уязвимость существует из-за ошибки в обработке некоторых параметров при добавлении или редактировании заявки. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.
2) Уязвимость существует из-за ошибки в обработке входных данных в параметрах "username" и "password" перед использованием их в SQL-запросах. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Успешное эксплуатирование уязвимости требует выключение опции "magic_quotes_gpc".
3) Уязвимость существует из-за ошибки в процессе аутентификации в edit_user.php. Атакующий может получить конфиденциальные данные других пользователей, а также изменить пароли пользователей.
