Дата Выпуска: 2006-05-19
Уровень: Умеренно критический
Воздействие: Манипуляция данными
Решение: Неисправленно
Software: CodeAvalanche News 1.x

Описание:
Входящие данные в параметре "password" в CANews/admin/default.asp, должным образом не проверяются перед использованием в запросе SQL. Это может эксплуатироваться, чтобы управлять запросами SQL, вводя произвольный код SQL.

Это может эксплуатироваться, чтобы получить доступ к админке и позволяет нападавшему вставлять произвольный HTML и код, который будет выполнен на сессии браузера пользователя в контексте уязвимого сайта, когда злонамеренные данные просматриваются.