Security Lab

Несколько уязвимостей в MyABraCaDaWeb

Дата публикации:21.03.2003
Всего просмотров:1128
Опасность:
Низкая
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Раскрытие системных данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: MyABraCaDaWeb 1.x
Описание: Несколько уязвимостей обнаружено в MyABraCaDaWeb web content management system. Удаленный пользователь может выполнить XSS нападение. Также удаленный пользователь может определить инсталляционный путь.

Удаленный атакующий может сконструировать специально обработанный URL, который, при загрузки целевым пользователем, выполнит произвольный код сценария в браузере целевого пользователя. Пример:

 
http://[target]/index.php?module=pertinanc e&ma_ou=annuaire2liens&ma_kw=<script>alert("Cookie="+document.cookie)</script>
Также сообщается, что удаленный пользователь может представить специально обработанный запрос, содержащий несуществующий Administrator ID, чтобы определить инсталляционный путь приложения:
 http://[target]/index.php?IDAdmin=test
http://[target]/index.php?base=test
http://[target]/index.php?tampon=te st
http://[target]/index.php?SqlQuery=test
Уязвимость обнаружена в MyABraCaDaWeb 1.0.2
Ссылки: Path Disclosure & Cross Site Scripting Vulnerability