Межсайтовый скриптинг и SQL-инъекция в KOOBI CMS
| Дата публикации: | 14.02.2006 |
| Дата изменения: | 06.04.2009 |
| Всего просмотров: | 2963 |
| Опасность: | Средняя |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Неавторизованное изменение данных |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | Koobi 5.x |
| Уязвимые версии: KOOBI CMS 5.2 Standart
Описание: 1. Уязвимость существует из-за недостаточной обработки входных данных в параметре REFERER в сценарии index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. 2. Уязвимость существует из-за недостаточной обработки входных данных в различных параметрах. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Примеры:
http://KOOIBI_SITE/admin/stats.php?pp=5&sort=id&order=DESC&action=referer http://KOOBI_SITE/index.php?charakter=&type=&p=articles&area=1&categ=2&ud=&selby=&show= http://site/index.php?pp=73025"><script>alert()</script> http://site/index.php?pp=&sort=name&categ=1&parent=23678"> http://site/index.php?p=forum&action=print&what=posting&id=56480"> http://site/index.php?p=forum&action=print&what=posting&id=24515"> http://site/index.php?p=showtopic&toid=2&fid=76126"> http://site/index.php?showlink=1&fid=25265"> http://site/index.php?showlink=1&fid=2&p=links&area=1&categ=1"> http://site/index.php?categ=1&parent=85659"> http://koobi.com/index.php?categ=1&parent=49797"> URL производителя: www.dream4.de Решение: Установите последнюю версию (5.4) с сайта производителя. |
|
| Ссылки: | RST/GHC -- KOOBI CMS -- ADVISORY #36 |