3D Users Cloud
Уязвимость, дающая возможность произвести XSS-нападение, обнаружена в Joomla-модуле «3D Users Cloud» версии 1.8. Возможно, уязвимости подвержены и более ранние версии.
Причина — недостаточная обработка входных данных в параметре «tagcloud» в сценарии modules/mod_usr3dcloud/tagcloud_rus.swf в случае, когда параметр «mode» принимает значение «tags». Используя уязвимость, удаленный пользователь может при помощи специально сформированного запроса выполнить произвольный код сценария в обозревателе жертвы в контексте безопасности уязвимого сайта.
JE Quotation Form
Уязвимость, обнаруженная в Joomla-компоненте «JE Quotation Form» версии 1.0b1, позволяет удаленному пользователю получить доступ к важным данным в системе.
Уязвимость существует из-за недостаточной обработки входных данных в параметре «view» в сценарии index.php в случае, когда параметр «option» принимает значение «com_jequoteform». При помощи специально сформированного запроса, содержащего символы обхода каталога, удаленный пользователь может просмотреть содержимое произвольных файлов на системе.
Способов устранения уязвимости в настоящее время не существует.
JE Ajax Event Calendar
Обнаружена уязвимость, позволяющая при помощью специально сформированного запроса, содержащего символы обхода каталога, просмотреть содержимое произвольных файлов. Подвержены версии 1.Х.
Причина уязвимости в недостаточной обработке входных данных в параметре «view» в сценарии index.php в случях, когда параметр «option» принимает значение «com_jeajaxeventcalendar».
Источники:
