Множественные уязвимости в DUforum

Описание:
Обнаружено несколько уязвимостей в DUforum. Удаленный атакующий может выполнить произвольные SQL команды и получить доступ к важным данным пользователей.

1. Удаленный атакующий может получить административный доступ к DUforum из-за ошибки при обработке переменных login и password.

user= admin
password= ' or '1'='1

2. Обнаружена SQL инъекция в параметре FOR_ID модуля messages.asp и в параметре MSG_ID модуля messageDetail.asp.

http://[URL]/DUforum/messages.asp?FOR_ID=1;[SQL INJECT]
http://[URL]/DUforum/messageDetail.asp?MSG_ID=1;[SQL INJECT]

3. Также, программное обеспечение не фильтрует HTML теги, что позволяет атакующему выполнить произвольный код в браузере пользователя.

URL производителя:www.duware.com/products/detail.asp?iPro=21&iCat=7&nCat=Forum%20&%20Messaging

Решение:Решение на данный момент не существует.