Программа: Atarone CMS 1.x

Найденные уязвимости позволяют удаленному злоумышленнику осуществить XSS
атаку и выполнить произвольный SQL код в базе данных приложения и выполнить
произвольный PHP сценарий на целевой системе.

1) Уязвимость возникает из-за ошибки в проверке входных данных в параметрах "site_name",
"email", "theme_chosen", "hp", "c_meta", "id" и "c_js" сценарием ap-save.php.
Удаленный пользователь может с помощью специально сформированного запроса
выполнить произвольные SQL команды в базе данных приложения.

2) Уязвимость возникает из-за ошибки в проверке входных данных в параметре "theme_chosen"
сценарием ap-save.php. Удаленный пользователь может выполнить произвольный PHP
сценарий на целевой системе с привилегиями Web сервера.

3) Уязвимость возникает из-за ошибки в проверке входных данных в параметрах "name"
и "id" сценарием ap-pages.php (когда "input_type" установлен в "delete").
Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте
безопасности уязвимого сайта.



Оставить мнение