Программа: PHP Multiple Newsletters 2.7
Уязвимость позволяет удаленному пользователю произвести XSS нападение и
выполнить произвольный PHP сценарий на целевой системе.
1) Уязвимость существует из-за недостаточной обработки входных данных
сценарием index.php. Атакующий может выполнить произвольный сценарий в браузере
жертвы в контексте безопасности уязвимого сайта.
Эксплоит:
www.site.com/path/index.php/>"><ScRiPt>alert(document.cookie)</ScRiPt>
2) Уязвимость существует из-за недостаточной обработки входных данных в
параметре «lang» сценарием index.php. Удаленный пользователь может выполнить
произвольный PHP сценарий на целевой системе с привилегиями Web сервера.
Эксплоит:
www.site.com/path/index.php?lang=[Lfi]%00
