Программа: PHP Multiple Newsletters 2.7

Уязвимость позволяет удаленному пользователю произвести XSS нападение и
выполнить произвольный PHP сценарий на целевой системе.

1) Уязвимость существует из-за недостаточной обработки входных данных
сценарием index.php. Атакующий может выполнить произвольный сценарий в браузере
жертвы в контексте безопасности уязвимого сайта.

Эксплоит:

www.site.com/path/index.php/>"><ScRiPt>alert(document.cookie)</ScRiPt>

2) Уязвимость существует из-за недостаточной обработки входных данных в
параметре «lang» сценарием index.php. Удаленный пользователь может выполнить
произвольный PHP сценарий на целевой системе с привилегиями Web сервера.

Эксплоит:

www.site.com/path/index.php?lang=[Lfi]%00

Оставить мнение