Phprofessionにいくつかの脆弱性
原題:Phprofession Multiple Vulnerabilities
■危険度・緊急度
3/5:過度に危険
■インパクト
リモートからデータの操作や非公開情報の閲覧、クロスサイトスクリプティングの問題。
■概要
WebベースのJOBボード作成用PostNukeモジュールであるphProfessionは、jcodeパラメータのチェックが適切に行われないために、自由にHTMLやスクリプトを記述できてしまいます。ユーザを誘導することでユーザの情報を引き出したりすることが可能になります。
offsetパラメータに渡された値のチェックが適切でないためにSQLを操作することができてしまいます。
エラーメッセージでupload.phpが出力する物はパスを表示してしまいます。
■影響のあるプラットフォーム・アプリケーション
Phprofession 2.5以前
■対処
ソースコードを修正
■情報元・関連情報