Межсайтовый скриптинг и SQL-инъекция в Complete PHP Counter

Дата публикации:
17.10.2005
Всего просмотров:
1153
Опасность:
Средняя
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2005-4674
CVE-2005-4675
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: Complete PHP Counter

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и выполнить произвольные SQL команды в базе данных приложения.

Уязвимость существует при обработке входных данных в сценарии list.php. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы и выполнить произвольные SQL команды в базе данных приложения. Примеры:

http://[target]/[php-counter]/list.php?c='>
<script>alert(document.cookie);</script>

http://[target]/[php-counter]/list.php?c='&s='

URL производителя: www.dotcombuilder.com

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: Complete PHP Counter Multiple Vulnerability

или введите имя

CAPTCHA