Хакер #305. Многошаговые SQL-инъекции
Программа: InterWorx-CP 3.x
Уязвимость позволяет удаленному пользователю выполнить XSS нападение на целевую систему. Уязвимость существует из-за недостаточной обработки входных данных множественными сценариями, например nodeworx/index.php и siteworx/index.php. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.
Примеры:
/nodeworx/index.php/<Evil(XSS)-Code>
/siteworx/index.php/<Evil(XSS)-Code>
/nodeworx/nodeworx.php/<Evil-Code>
/nodeworx/users.php/<Evil-Code>
/nodeworx/lang.php/<Evil-Code>
/nodeworx/themes.php/<Evil-Code>
/nodeworx/setup.php/<Evil-Code>
/nodeworx/siteworx.php/<Evil-Code>
/nodeworx/packages.php/<Evil-Code>
/nodeworx/backup.php/<Evil-Code>
/nodeworx/import.php/<Evil-Code>
/nodeworx/scriptworx.php/<Evil-Code>
/nodeworx/resellers.php/<Evil-Code>
/nodeworx/reseller-packages.php/<Evil-Code>
/nodeworx/http.php/<Evil-Code>
/nodeworx/mail.php/<Evil-Code>
/nodeworx/ftp.php/<Evil-Code>
/nodeworx/mysql.php/<Evil-Code>
/nodeworx/sshd.php/<Evil-Code>
/nodeworx/nfs.php/<Evil-Code>
/nodeworx/cron.php/<Evil-Code>
/nodeworx/ip.php/<Evil-Code>
/nodeworx/firewall.php/<Evil-Code>
/nodeworx/updates.php/<Evil-Code>
/nodeworx/rrd.php/<Evil-Code>
/nodeworx/cluster.php/<Evil-Code>
/siteworx/siteworx.php/<Evil-Code>
/siteworx/users.php/<Evil-Code>
/siteworx/cron.php
/siteworx/prefs.php
/siteworx/ftp.php/<Evil-Code>
/siteworx/mysql.php/<Evil-Code>
/siteworx/domains.php/<Evil-Code>
/siteworx/htaccess.php/<Evil-Code>
/siteworx/scriptworx.php/<Evil-Code>
/siteworx/stats.php/<Evil-Code>
/siteworx/backup.php/<Evil-Code>
/siteworx/restore.php/<Evil-Code>
/siteworx/httpd.php/<Evil-Code>