Программа: vWar 1.x (module for PHP-Nuke)

Найденные уязвимости позволяют удаленному злоумышленнику выполнить XSS нападение на целевую систему и выполнить произвольные SQL команды в базе данных приложения.

1.) Уязвимость существует из-за недостаточной обработки входных данных в параметре «n» сценарием extra/online.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

2.) Уязвимость существует из-за недостаточной обработки входных данных в параметре «title» сценарием extra/today.php (когда "whattoshow" установлено в "3"). Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

3.) Уязвимость существует из-за недостаточной обработки входных данных в параметре «memberlist» сценарием extra/login.php. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.



Оставить мнение