Security Lab

SQL инъекция и XSS в Turbo Traffic Trader

Дата публикации:14.10.2004
Всего просмотров:1414
Опасность:
Средняя
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: Nitro 1.0

Описание:
Уязвимость обнаружена в Turbo Traffic Trader. Удаленный атакующий может выполнить произвольные SQL команды и XSS.

Уязвимость существует из-за некорректной обработки входных данных во многих параметрах. Удаленный атакующий может выполнить произвольный сценарий в контексте безопасности сайта. Пример:

http://URL_to_ttt_script/ttt-webmaster.php?msg[0]=%3Cscript%3Ealert(String.fromCharCode(88)%2BString.fromChar
Code(83)%2BString.fromCharCode(83));%3C/script%

При отключенной опции magic_quotes удаленный атакующий может выполнить произвольные SQL команды на системе.

URL производителя: www.turbotraffictrader.com/

Решение: решение на данный момент не существует.

Ссылки: SQL Injection & XSS in Turbo Traffic Trader