Несколько уязвимостей в MaxWebPortal

Дата публикации:
11.06.2003
Всего просмотров:
859
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Раскрытие важных данных
Повышение привилегий
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
MaxWebPortal 1.x
Описание: Несколько уязвимостей обнаружено в MaxWebPortal. Удаленный пользователь может получить доступ к любой учетной записи пользователя, включая учетную запись администратора.

Удаленный пользователь может представить Web форму, со специально обработанными скрытыми полями HTML формы (value=1 name=news), чтобы добавить новую новость к целевому Web серверу.

Удаленный пользователь, с доступом к куки целевого пользователя (например, через XXS, как описано ниже), может изменить значение параметров куки, чтобы подключится к серверу как произвольный пользователь, включая администратора системы.

Уязвимость в проверке правильности ввода обнаружена в сценарии 'search.asp'. Удаленный пользователь может выполнить XSS нападение. Пример:

 http://[target]/search.asp?Search="><script>alert()</script>
Уязвимость обнаружена в MaxWebPortal 1.30

Уязвимость устранена в MaxWebPortal 1.31, которую можно скачать отсюда:

http://www.maxwebportal.com/maxwebportal.asp

Ссылки: Critical Vulnerabilities In Max Web Portal

или введите имя

CAPTCHA