Дата публикации: | 18.11.2004 |
Всего просмотров: | 1712 |
Опасность: | Высокая |
Наличие исправления: | |
Количество уязвимостей: | 1 |
CVE ID: | Нет данных |
Вектор эксплуатации: | |
Воздействие: | |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | |
Уязвимые версии: phpNuke Event Calendar 2.13
Описание: 1. Уязвимость существует из-за некорректной фильтрации входных данных в переменной edi. Удаленный атакующий может выполнить произвольные SQL команды. Пример:
http://[target]/nuke73/modules.php?name=Calendar&file=index&type=view&eid=-99%20UNION%20ALL%20SELECT 2. Удаленный атакующий может выполнить произвольный HTML сценарий в браузере жертвы с помощью специально сформированного URL. Примеры:
http://[target]/nuke73/modules.php?name=Calendar&file=submit&type=[xss
code here] Удаленный атакующий с помощью специально сформированного URL может определить путь к установочной директории на сервере. Примеры:
http://[target]/nuke73/modules/Calendar/config.php
URL производителя: phpnuke.holbrookau.net Решение: Решение на данный момент не существует. |
|
Ссылки: | Multiple vulnerabilities in Event Calendar module for PhpNuke |