Программа: Drupal 4.x
Уязвимость позволяет удаленному злоумышленнику выполнить XSS нападение и осуществить другие атаки на целевую систему. Уязвимость существует из-за недостаточной обработки входных данных в параметре "query" сценарием index.php. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.
1) Уязвимость существует из-за недостаточной обработки входных данных в XML парсере перед их использованием. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Успешное эксплуатирование уязвимости требует выключение расширения PHP "mbstring".
2) Уязвимость существует из-за недостаточной обработки входных данных перед их использованием в модулях "aggregator", "profile" и "forum". Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.
3) Уязвимость существует из-за того, что приложение позволяет пользователям выполнять определенные действия через HTTP запросы, без осуществления должной проверки. Атакующий может изменить пароли пользователей, вставить PHP код или создать новых пользователей.
4) Уязвимость существует из-за недостаточной обработки входных данных во множественных параметрах перед тем как возвратить пользователю. Это позволит атакующему подсунуть пользователю-жертве специально составленную ссылку и переправить пользователя на злонамеренный сайт.
