Межсайтовый скриптинг в phpAdsNew

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить информацию об установочной директории на сервере.

Межсайтовый скриптинг возможен при включенной опции register_globals в конфигурационном файле php.ini. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

http://[target]/[DIR]/adframe.php?refresh=securityreason.com'>[XSS code]

Удаленный пользователь может получить информацию об установочной директории приложения, напрямую обратившись к некоторым файлам. Примеры:

http://[target]/[DIR]/libraries/lib-xmlrpcs.inc.php
http://[target]/[DIR]/maintenance/ maintenance-activation.php
http://[target]/[DIR]/maintenance/maintenance-cleantables.php
http://[target]/[DIR]/maintenance/maintenance-autotargeting.php
http://[target ]/[DIR]/maintenance/maintenance-reports.php
http://[target]/[DIR]/misc/backwards%20compatibility/phpads.php
http://[target]/[DIR]/misc/backwards%20compatibility/remoteh tmlview.php
http://[target]/[DIR]/misc/backwards%20compatibility/click.php
http://[target]/[DIR]/adcontent.php

URL производителя: http://phpadsnew.com

Решение: Установите последнюю версию с сайта производителя.

Журнал изменений:
24.03.2009
Изменена секция "Решение"