Несколько уязвимостей обнаружено в phProfession

Дата публикации:
22.04.2004
Всего просмотров:
886
Опасность:
Средняя
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Раскрытие важных данных
Неавторизованное изменение данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Phprofession 2.x
Уязвимые версии: phProfession 2.5

Описание: Несколько уязвимостей обнаружено в phProfession. Удаленный пользователь может внедрить SQL команды, выполнить XSS нападение и определить инсталляционный путь.

1. SQL инъекция:

 http://localhost/postnuke0726/modules.php?op=modload&name=phprofession&file=index&offset=[SQL]
2. Раскрытие инсталляционного пути:
http://localhost/postnuke0726/modules/phprofession/upload.php
3. XSS:
calhost/postnuke0726/modules.php?op=modload&name=phprofession&file=upload&jcode=[xss
code here]

URL производителя:http://phpro.nabirov.net/

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: Multiple vulnerabilities in phprofession 2.5 module for PostNuke

или введите имя

CAPTCHA