BugTraq in French
Advanced Poll 2.02 : Injection SQL & Cross Site Scripting Apr 05 2006 12:25AM
Silitix gmail com
Produit : Advanced Poll

Version : 2.02

Problème : Injection SQL & Cross Site Scripting

Status développeur : Contacté

Description :
#############

Advanced Poll permet de mettre en place un puissant système de gestion de sondages avec une administration complète.

Fonctionnalités : multi-sondages, templates, IP-Logging, IP-Locking, sondage au hasard.

Exploitation :
##############

* SQL Injection *

http://[target]/poll/comments.php?action=send&id=1[SQL]
http://[target]/poll/page.php.php?poll_id=1[SQL]

* Cross Site Scripting *

http://[target]/poll/comments.php?action=send&id=1[XSS]
http://[target]/poll/page.php.php?poll_id=1[XSS]

Crédits :
#########

Avis de sécurité par Amine ABOUD aka Silitix ( Silitix (at) gmail (dot) com [email concealed] )
www.Silitix.com

Avis de sécurité original : www.Silitix.com/advancedpoll.txt

[ reply ]


 

Privacy Statement
Copyright 2010, SecurityFocus