О программе:
Mambo портал разработки и поддержки домашних страниц. Использует
PHP\MySQL и всесторонний администраторский аудит. Уязвимости:
Модуль авторизации (mod_login.php) не проверяет переменные перед
запуском. Удаленный пользователь может создать специальный URL-запрос
который при загрузки у пользователя позволить выполнить скрипт код в
окне используемого браузера. Как результат, код позволит получить доступ
к кукисам пользователя. Уязвимый код:
Компонент комментариев так же не проверяет переменные перед запуском,
что позволяет вставить код. Специально подготовленный код выполнится в
окне браузера.
Так же возможна и SQL-инъекция в этом же модуле. Узявимый код: