Дата публикации: | 26.08.2005 |
Дата изменения: | 17.10.2006 |
Всего просмотров: | 4742 |
Опасность: | |
Наличие исправления: | |
Количество уязвимостей: | 1 |
CVE ID: | Нет данных |
Вектор эксплуатации: | |
Воздействие: | |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | |
Уязвимые версии: PostNuke версии до 0.760
Описание: Уязвимость существует из-за недостаточной обработки данных в параметре show в сценарии modules/Downloads/dl-viewdownload.php. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения. Пример: http://[HOST]/[DIR]/index.php?name=Downloads&req =viewdownload&cid=1&show=[SQL%20INJECTION] Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Пример: http://[HOST]/[DIR]/index.php?module=Comments&req= http://cxib.server/PostNuke-0.760-RC4b/ URL производителя: www.postnuke.com Решение: Установите последнюю версию с сайта производителя. |
|
Ссылки: | Multiple vulnerabilities in PostNuke 0.760-RC4b=>x cXIb8O3.15 |