В новостной системе PHPFreeNews 1.4.0 (и предыдуших версиях) обнаружено несколько уязвимостей, позволяющих злоумышленнику выполнить произвольный SQL запрос и произвести межсайтовый скриптинг(XSS).
1) Недостаточная проверка входных параметров "Match" и "CatID" в модуле "SearchResults.php" позволяет злоумышленнику выполнить произвольный SQL запрос.
2) Недостаточная проверка параметров "NewsMode" и "Match" в модуле "SearchResults.php" и "NewsCategoryForm.php" позволяет выполнить произвольный HTML код или скрипт на компьютере пользователя, просматривающего страницу с определенным адресом.
SecuriTeam