Множественные уязвимости в DUclassified

Описание:
Обнаружены SQL инъекция и межсайтовое выполнение сценариев в DUclassified.

1. Уязвимость существует из-за недостаточной фильтрации входных данных. Удаленный атакующий может выполнить произвольные SQL команды на сервере.
2. На странице администратора обнаружена ошибка при обработке переменной ‘user’. Удаленный атакующий может использовать эту уязвимость, чтобы получить права администратора.

http://[URL]/DUclassified/admin/ user= admin' or '1'='1

3. Существует ошибка при обработке параметра ‘cat_id’ на странице 'adDetail.asp'.

http://[URL]/DUclassified/adDe tail.asp?cat_id=1;[SQL INJECT]&sub_id=1;[SQL INJECT]

4.Программное обеспечение не фильтрует HTML в сообщениях. Удаленный атакующий может получить доступ к важным данным на системе пользователя.

URL производителя:www.duware.com/products/detail.asp?iPro=19&iCat=9&nCat=Ad%20Management

Решение:Решение на данный момент не существует.