Программа: AnnonceScriptHP 2.x

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения, осуществить XSS нападение на целевую систему и получить доступ к конфиденциальной информации на целевой системе.

1) Уязвимость существует из-за недостаточной обработки входных данных в параметре "idmembre" сценарием admin/admin_membre/fiche_membre.php. Удаленный пользователь может просмотреть пароли и другие детали пользователей.

2) Уязвимость существует из-за недостаточной обработки входных данных в параметре "no" сценарием voirannonce.php, в параметер "idmembre" сценарием admin/admin_membre/fiche_membre.php, в параметре "idannonce" сценариями admin/admin_annonce/okvalannonce.php и admin/admin_annonce/changeannonce.php и в параметре "id" сценарием email.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

3) Уязвимость существует из-за недостаточной обработки входных данных в параметре "email" сценариями erreurinscription.php, Templates/admin.dwt.php, Templates/commun.dwt.php, Templates/membre.dwt.php, и admin/admin_config/Aide.php. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии