Навигация
Главная »  Интернет 

Межсайтовый скриптинг и SQL-инъекция в aWebNews


Программа: aWebNews 1.0, возможно другие версии.
Опасность: Средняя
Наличие эксплоита: Нет

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и выполнить произвольные SQL команды в базе данных приложения.

1. Уязвимость существует из-за недостаточной обработки входных данных в параметре user123 в сценариях login.php и fpass.php, и параметре cid в сценарии visview.php. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения. Удачная эксплуатация уязвимости возможна при выключенной опции magic_quotes_gpc

2. Уязвимость существует из-за недостаточной обработки входных данных в параметрах yname, emailadd, subject и comment в сценарии visview.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: http://labs.aweb.com.au/awebnews.php

Решение: Способов устранения уязвимости не существует в настоящее время.

 

 Червь устанавливает на компьютер подставной Internet Explorer.
 Профессионально, объективно... даже про алкоголь.
 За шутку против президента интернет портал Compromat.ru подвергся DDoS атаке.
 АИСТ и Softline проведут бесплатные семинары, посвященные системе NetCat.
 КМ онлайн выиграла дело против Библиотеки Мошкова.


Главная »  Интернет 

© 2017 Team.Furia.Ru.
Частичное копирование материалов разрешено.