Доступ к административным функциям в StepWeb Search Engine (SWS)

Дата публикации:
17.04.2002
Всего просмотров:
745
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: StepWeb Search Engine (SWS) - Perl сценарий поискового сервера, который использует базу данных flatfile для хранения поисковых запросов.

Удаленный нападающий, знающий местоположение административной Web страницы (admin.html обычно находится в том же самом каталоге что и поисковая система), может тривиально получать доступ к административным функциям программного обеспечения. При обращении к admin.html, происходит переадресация на сценарий входа manager.pl. Однако пароль можно получить непосредственно обратившись к manager.pl:

http://www.mysite.com/cgi-bin/sws/manager.pl?add&pass=PassWord

http://www.mysite.com/cgi-bin/sws/manager.pl?del&pass=PassWord

http://www.mysite.com/cgi-bin/sws/manager.pl?log&pass=PassWord

Уязвимость найдена в Stepweb SWS 2.5

Ссылки: Источник

или введите имя

CAPTCHA