Security Lab

Несколько уязвимостей обнаружено в phProfession

Дата публикации:22.04.2004
Всего просмотров:1008
Опасность:
Средняя
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Раскрытие важных данных
Неавторизованное изменение данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Phprofession 2.x
Уязвимые версии: phProfession 2.5

Описание: Несколько уязвимостей обнаружено в phProfession. Удаленный пользователь может внедрить SQL команды, выполнить XSS нападение и определить инсталляционный путь.

1. SQL инъекция:

 http://localhost/postnuke0726/modules.php?op=modload&name=phprofession&file=index&offset=[SQL]
2. Раскрытие инсталляционного пути:
http://localhost/postnuke0726/modules/phprofession/upload.php
3. XSS:
calhost/postnuke0726/modules.php?op=modload&name=phprofession&file=upload&jcode=[xss
code here]

URL производителя:http://phpro.nabirov.net/

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: Multiple vulnerabilities in phprofession 2.5 module for PostNuke