原題：Phprofession Multiple Vulnerabilities

■危険度・緊急度

3/5：過度に危険

■インパクト

リモートからデータの操作や非公開情報の閲覧、クロスサイトスクリプティングの問題。

■概要

WebベースのJOBボード作成用PostNukeモジュールであるphProfessionは、jcodeパラメータのチェックが適切に行われないために、自由にHTMLやスクリプトを記述できてしまいます。ユーザを誘導することでユーザの情報を引き出したりすることが可能になります。
offsetパラメータに渡された値のチェックが適切でないためにSQLを操作することができてしまいます。
エラーメッセージでupload.phpが出力する物はパスを表示してしまいます。

■影響のあるプラットフォーム・アプリケーション

Phprofession 2.5以前

■対処

ソースコードを修正

■情報元・関連情報

Secunia - Secunia Advisories