My Photo Scrapbook - SQL Inj, Cross-Site Scripting
Дата Выпуска: 2006-06-09
Уровень: Умеренно критический
Воздействие: Cross-Site Scripting, Манипулирование данными
Решение: Неисправленно
Software: My Photo Scrapbook 1.x
Описание:
1) Входящие данные в параметре "key_m" в display.asp, должным образом не проверяются перед возвращением пользователя. Это может эксплуатироваться, чтобы выполнить произвольный HTML и код XSS на сессии браузера пользователя в контексте уязвимого сайта.
Пример:
2) Входящие данные в параметре "key" в Displayview.asp должным образом не проверяются перед использованием в запросе SQL. Это может эксплуатироваться, чтобы управлять запросами SQL, вводя произвольный код SQL.
Пример:
Дата Выпуска: 2006-06-09
Уровень: Умеренно критический
Воздействие: Cross-Site Scripting, Манипулирование данными
Решение: Неисправленно
Software: My Photo Scrapbook 1.x
Описание:
1) Входящие данные в параметре "key_m" в display.asp, должным образом не проверяются перед возвращением пользователя. Это может эксплуатироваться, чтобы выполнить произвольный HTML и код XSS на сессии браузера пользователя в контексте уязвимого сайта.
Пример:
Код:
http://[host]/display.asp?key_m=Пример:
Код:
http://[host]/Displayview.asp?key=