Программа: Future Internet

Уязвимость позволяет удаленному пользователю осуществить XSS нападение и выполнить произвольные SQL команды в базе данных приложения.

1) Уязвимость существует из-за недостаточной обработки входных данных в параметрах "fuseaction" и "langId" сценарием index.cfm. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Пример:

http://www.example.com/path_of_script/index.cfm?fuseaction=Portal.Showpage&categoryid=311&newsId=[SQL]
http://www.example.com/path_of_script/index.cfm?fuseaction=Portal.Showpage&categoryid=[SQL]
http://www.example.com/path_of_script/index.cfm?langId=[SQL]

2) Уязвимость существует из-за недостаточной обработки входных данных в параметре "fuseaction" сценарием index.cfm. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

Пример:

http://www.example.com/path_of_script/index.cfm?fuseaction=Portal.ShowPage&categoryId=[XSS]



Оставить мнение