Описание:
Обнаруженная уязвимость позволяет удаленному пользователю произвести XSS нападение и выполнить произвольные SQL команды в базе данных приложения.

Уязвимость существует из-за недостаточной обработки данных в параметре show в сценарии modules/Downloads/dl-viewdownload.php. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения. Пример:

http://[HOST]/[DIR]/index.php?name=Downloads&req
=viewdownload&cid=1&show=[SQL%20INJECTION]

Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

http://[HOST]/[DIR]/index.php?module=Comments&req=
moderate&amp;moderate=<CENTER><H1>xss

http://cxib.server/PostNuke-0.760-RC4b/
html/user.php?op=edituser&amp;htmltext=<H1>xss

URL производителя: www.postnuke.com

Решение: Установите последнюю версию с сайта производителя.

Ссылки:
Multiple vulnerabilities in PostNuke 0.760-RC4b=>x cXIb8O3.15