Множественные уязвимости в eFiction
Обнаруженные уязвимости позволяют удаленному пользователю получить доступ к потенциально важным данным, произвести XSS нападение и SQL-инъекцию и выполнить произвольный PHP сценарий на системе.
1. Межсайтовый скриптинг возможен из-за недостаточной обработки входных данных в параметре "let" сценария "titles.php". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный HTML код в браузере жертвы в контексте безопасности уязвимого сайта.
2. SQL-инъекция возможна из-за недостаточной обработки входных данных в параметрах “let”, “sid” и “uid” в различных сценариях. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения.
3. Уязвимость в "Manage Images" позволяет удаленному пользователю загрузить валидные изображения с произвольным расширением. Удаленный пользователь может загрузить валидное изображение, содержащее PHP код и выполнить его с привилегиями web сервера.
4. Удаленный пользователь может запросить сценарий "phpinfo.php" и получить потенциально важную информацию о системе.
:zns2: Сплойт
Обнаруженные уязвимости позволяют удаленному пользователю получить доступ к потенциально важным данным, произвести XSS нападение и SQL-инъекцию и выполнить произвольный PHP сценарий на системе.
1. Межсайтовый скриптинг возможен из-за недостаточной обработки входных данных в параметре "let" сценария "titles.php". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный HTML код в браузере жертвы в контексте безопасности уязвимого сайта.
2. SQL-инъекция возможна из-за недостаточной обработки входных данных в параметрах “let”, “sid” и “uid” в различных сценариях. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения.
3. Уязвимость в "Manage Images" позволяет удаленному пользователю загрузить валидные изображения с произвольным расширением. Удаленный пользователь может загрузить валидное изображение, содержащее PHP код и выполнить его с привилегиями web сервера.
4. Удаленный пользователь может запросить сценарий "phpinfo.php" и получить потенциально важную информацию о системе.
:zns2: Сплойт