Программа: Unobtrusive AJAX Star Rating Bar 1.x
Найденные уязвимости позволяют удаленному злоумышленнику выполнить произвольные SQL команды в базе данных приложения, осуществить XSS нападение и обойти ограничения безопасности на целевой системе.
1) Уязвимость существует из-за недостаточной обработки входных данных в параметрах "q" и "t" сценариями rpc.php и db.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
2) Уязвимость существует из-за недостаточной обработки входных данных в параметре "q" сценарием rpc.php. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.
3) Уязвимость существует из-за недостаточной обработки входных данных, передаваемых в переменную "HTTP_REFERER" сценарием db.php. Атакующий может использовать CRLF последовательности, что позволит ему обойти ограничения безопасности и вставить в запрос произвольные HTTP заголовки.
