Программа: cgTestimonial 1.x (component for Joomla!)

Уязвимость позволяет удаленному пользователю выполнить произвольный PHP
сценарий на целевой системе и XSS нападение.

1) Уязвимость существует из-за недостаточной обработки входных данных
сценарием components/com_cgtestimonial/cgtestimonial.php. Удаленный пользователь
может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web
сервера.

2) Уязвимость существует из-за недостаточной обработки входных данных
сценарием administrator/components/com_cgtestimonial/testimonial.php. Удаленный
пользователь может выполнить произвольный PHP сценарий на целевой системе с
привилегиями Web сервера.

3) Уязвимость существует из-за недостаточной обработки входных данных в
параметре "url" сценарием components/com_cgtestimonial/video.php. Атакующий
может выполнить произвольный сценарий в браузере жертвы в контексте безопасности
уязвимого сайта.

Эксплоит:

http://site/path/components/com_cgtestimonial/video.php?url="><script>alert(‘xss’);</script>



Оставить мнение