- 06.03.2013 09:03
- Безопасность

Уязвимые версии: PHP-Fusion 7.02.06, возможно более ранние версии.
Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.
1. Уязвимость существует из-за недостаточной обработки входных данных в параметрах "news_id", "news_image", "news_image_t1" и "news_image_t2" в сценарии administration/news.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Примечание: Для успешной эксплуатации уязвимости необходимо иметь права доступа "administer news".
2. Уязвимость существует из-за недостаточной обработки входных данных в параметре "article_id" в сценарии administration/articles.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Примечание: Для успешной эксплуатации уязвимости необходимо иметь права доступа "administer articles".
3. Уязвимость существует из-за недостаточной обработки входных данных в параметре "highlight" в сценарии forum/viewthread.php (когда параметр "thread_id" равен легитимному идентификатору заметки форума). Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
PS: данные уязвимости доступны после доступа к админ панели, jikaka
- Печать
- 8 Комментариев
- 4234 Прочтений
Поделиться этой новостью | |
Социальные закладки: |
![]() ![]() ![]() ![]() ![]() ![]() |
URL: | |
BBcode: | |
HTML: |
- Нет данных для оценки.
Рейтинг доступен только для пользователей.
Пожалуйста, авторизуйтесьили зарегистрируйтесь для голосования.