Программа:
eZ Publish 3.x
eZ Publish 4.x

Уязвимость позволяет удаленному пользователю выполнить XSS нападение и
выполнить произвольные SQL команды в базе данных приложения.

1) Уязвимость существует из-за недостаточной обработки входных данных в
параметрах "SectionID" и "SearchTimestamp" функции поиска. Удаленный
пользователь может с помощью специально сформированного запроса выполнить
произвольные SQL команды в базе данных приложения.

2) Уязвимость существует из-за недостаточной обработки входных данных в
параметре "SearchContentClassAttributeID" в функциональности расширенного
поиска. Удаленный пользователь может с помощью специально сформированного
запроса выполнить произвольные SQL команды в базе данных приложения.

3) Уязвимость существует из-за недостаточной обработки входных данных в
параметре "subTreeItem" в функциональности расширенного поиска. Атакующий может
выполнить произвольный сценарий в браузере жертвы в контексте безопасности
уязвимого сайта.



Оставить мнение