Доступ к произвольным файлам и раскрытие опознавательной информации в Forum Web Server

Дата публикации:
04.06.2003
Дата изменения:
17.10.2006
Всего просмотров:
795
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Локальная
Воздействие:
Раскрытие важных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Forum Web Server 1.x
Описание: Несколько уязвимостей обнаружено в Forum Web Server. Удаленный пользователь может просматривать файлы на системе. Удаленный пользователь, способный контролировать сетевой трафик, может получить пароли пользователей.

Сообщается, что удаленный пользователь, способный просматривать трафик между Web клиентом и сервером, может просмотреть пароли целевого пользователя. Сервер устанавливает куки, в которых содержатся имя пользователя и пароль целевого пользователя. Пример:

Host: 10.10.10.1
Cookie: IDHTTPSESSIONID=3ertf3dsxfy3aqW; UserID=user10; PassWD=0000
Также сообщается, что удаленный пользователь может просматривать произвольные команды на системе. Пример:
http://10.10.10.1/../../../boot. ini
Уязвимость обнаружена в Forum Web Server 1.6

Ссылки: Vulnerability Under the Forum Web Server v1.6
или введите имя

CAPTCHA