Выполнение произвольных команд панели управления в CuteNews

Дата публикации:
02.07.2003
Дата изменения:
26.01.2009
Всего просмотров:
1773
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
CuteNews 1.x
Уязвимые версии: CuteNews 1.4.1, возможно более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Удаленный пользователь может заставить администратора создать новую злонамеренную учетную запись на системе.

Удаленный пользователь может представить специально обработанное сообщение, которое, когда будет просмотрено администратором системы, выполнить произвольные команды Панели Управления в браузере администратора. Команды панели управления могут быть вставлены в скрытый IFRAME (или используя другой подобный метод) внутри нового сообщения. Пример:

<iframe src="index.php?regusername=owned&regpassword=pass&regnickname=owned&regemail=none@none.com&reglevel=1&action=ad duser&mod=editus height=0 width=0 frameborder=0 scrolling=0></iframe>

URL производителя: www.cutephp.com

Решение: Установите последнюю версию 1.4.1 с сайта производителя.

Журнал изменений:

26.01.2009
Изменена секция «Решение», изменено описание уязвимости.

Ссылки: Admin Account Creation Vulnerability in CuteNews 1.x

или введите имя

CAPTCHA