Программа: AnnonceScriptHP 2.x

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения, осуществить XSS нападение на целевую систему и получить доступ к конфиденциальной информации на целевой системе.

1) Уязвимость существует из-за недостаточной обработки входных данных в параметре «idmembre» сценарием admin/admin_membre/fiche_membre.php. Удаленный пользователь может просмотреть пароли и другие детали пользователей.

2) Уязвимость существует из-за недостаточной обработки входных данных в параметре «no» сценарием voirannonce.php, в параметер «idmembre» сценарием admin/admin_membre/fiche_membre.php, в параметре «idannonce» сценариями admin/admin_annonce/okvalannonce.php и admin/admin_annonce/changeannonce.php и в параметре «id» сценарием email.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

3) Уязвимость существует из-за недостаточной обработки входных данных в параметре «email» сценариями erreurinscription.php, Templates/admin.dwt.php, Templates/commun.dwt.php, Templates/membre.dwt.php, и admin/admin_config/Aide.php. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.



Оставить мнение