Навигация
Главная »  Интернет 

SQL-инъекция и межсайтовый скриптинг в PHP-Fusion


Программа: PHP-Fusion 6.00.300 и 6.00.2x
Опасность: Средняя
Наличие эксплоита: Да

Описание:

Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и выполнить произвольные SQL команды в базе данных приложения.

1. Уязвимость существует при обработке входных данных в параметре sortby сценария members.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный HTML код в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует при обработке входных данных в параметре rating сценария ratings_include.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Удачная эксплуатация уязвимости возможна при выключенной опции magic_quotes_gpc

3. Уязвимость существует при обработке BB тега IMG. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный HTML код в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: http://www.php-fusion.co.uk

 

 В ЕС физлицам открыт доступ к регистрации доменных имен в зоне .eu.
 IDC предрекает рост рынка видео-через-интернет.
 Google откроет в Санкт Петербурге и Москве центр разработок.
 Microsoft разработала закон, позволяющий разработчикам ПО удаленно удалять свои программы...


Главная »  Интернет 

© 2017 Team.Furia.Ru.
Частичное копирование материалов разрешено.