Межсайтовый скриптинг и SQL-инъекция в aWebNews - «Интернет»
sitename
Новое расположение инструментов в меню — «Блог для вебмастеров»
Новое расположение инструментов в меню — «Блог для вебмастеров»
 «Точка невозврата уже пройдена»: инсайдер рассказал, что происходит со Star Citizen - «Новости сети»
«Точка невозврата уже пройдена»: инсайдер рассказал, что происходит со Star Citizen - «Новости сети»
 «Моя 2060 начинает плавиться от одного взгляда на это»: для Warhammer 40,000: Space Marine 2 вышел набор 4K-текстур, который весит больше самой игры - «Новости сети»
«Моя 2060 начинает плавиться от одного взгляда на это»: для Warhammer 40,000: Space Marine 2 вышел набор 4K-текстур, который весит больше самой игры - «Новости сети»
 Valve объяснила, чего хочет добиться в Steam Deck 2 и почему отказывается выпускать новые модели каждый год - «Новости сети»
Valve объяснила, чего хочет добиться в Steam Deck 2 и почему отказывается выпускать новые модели каждый год - «Новости сети»
 Китайский человекоподобный робот установил рекорд скорости благодаря качественным кроссовкам - «Новости сети»
Китайский человекоподобный робот установил рекорд скорости благодаря качественным кроссовкам - «Новости сети»
 Энтузиаст снял крышку с процессора Intel Arrow Lake-S, показав все его кристаллы - «Новости сети»
Энтузиаст снял крышку с процессора Intel Arrow Lake-S, показав все его кристаллы - «Новости сети»
 Тёмная тема в обновленном Вебмастере — «Блог для вебмастеров»
Тёмная тема в обновленном Вебмастере — «Блог для вебмастеров»
 Android 15 делает устройства практически неуязвимыми для краж - «Новости сети»
Android 15 делает устройства практически неуязвимыми для краж - «Новости сети»
 ASML проговорилась о надвигающейся катастрофе: из-за антикитайских санкций компания лишилась более половины заказов - «Новости сети»
ASML проговорилась о надвигающейся катастрофе: из-за антикитайских санкций компания лишилась более половины заказов - «Новости сети»
 AMD и Intel объединились во имя процветания архитектуры x86 - «Новости сети»
AMD и Intel объединились во имя процветания архитектуры x86 - «Новости сети»
Новости мира Интернет » Новости » Новости мира Интернет » Межсайтовый скриптинг и SQL-инъекция в aWebNews - «Интернет»

✔Межсайтовый скриптинг и SQL-инъекция в aWebNews - «Интернет»

19 марта 2024 938 Новости / Новости мира Интернет 0

Программа: aWebNews 1.0, возможно другие версии.
Опасность: Средняя
Наличие эксплоита: Нет

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и выполнить произвольные SQL команды в базе данных приложения.

1. Уязвимость существует из-за недостаточной обработки входных данных в параметре "user123" в сценариях login.php и fpass.php, и параметре "cid" в сценарии visview.php. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения. Удачная эксплуатация уязвимости возможна при выключенной опции "magic_quotes_gpc"

2. Уязвимость существует из-за недостаточной обработки входных данных в параметрах "yname", "emailadd", "subject" и "comment" в сценарии visview.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: http://labs.aweb.com.au/awebnews.php

Решение: Способов устранения уязвимости не существует в настоящее время.


Программа: aWebNews 1.0, возможно другие версии. Опасность: Средняя Наличие эксплоита: Нет Описание: Уязвимость позволяет удаленному пользователю произвести XSS нападение и выполнить произвольные SQL команды в базе данных приложения. 1. Уязвимость существует из-за недостаточной обработки входных данных в параметре "user123" в сценариях login.php и fpass.php, и параметре "cid" в сценарии visview.php. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения. Удачная эксплуатация уязвимости возможна при выключенной опции "magic_quotes_gpc" 2. Уязвимость существует из-за недостаточной обработки входных данных в параметрах "yname", "emailadd", "subject" и "comment" в сценарии visview.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценарий в браузере жертвы в контексте безопасности уязвимого сайта. URL производителя: http://labs.aweb.com.au/awebnews.php Решение: Способов устранения уязвимости не существует в настоящее время.
CSS, данных существует выполнить Уязвимость visview.php.
запостил(а)
Holiday
Вернуться назад
0

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация