Программа: FTP Admin 0.1.0
Найденные уязвимости позволяют удаленному злоумышленнику осуществить XSS атаку, обойти ограничения безопасности и выполнить произвольный сценарий на целевой системе.
1) Уязвимость существует из-за недостаточной обработки входных данных в параметре «page» сценарием index.php. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.
Пример:
http://localhost/ft/index.php?page=error&error=<b>...</b>
http://localhost/ft/index.php?page=error&error=<script>alert(1)</script>
2) Уязвимость существует из-за недостаточной обработки входных данных в параметре «page» сценарием index.php. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.
Пример:
http://localhost/ft/index.php?page=pass.txt%00&loggedin=true
3) Уязвимость существует из-за недостаточной обработки входных данных в параметре «page» сценарием index.php. Удаленный пользователь может обойти механизм аутентификации на целевой системе.
Пример:
http://localhost/ft/index.php?page=add&loggedin=true
