Множественные уязвимости в SurgeLDAP

Дата публикации:
15.08.2003
Всего просмотров:
590
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Отказ в обслуживании
Раскрытие важных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
SurgeLDAP 1.x
Описание: Несколько уязвимостей обнаружено в SurgeLDAP. Удаленный пользователь может аварийно завершить работу сервера. Удаленный пользовать может выполнить XSS нападение и определить инсталляционный путь. Локальный пользователь может просматривать пароли.

Удаленный пользователь может представить длинный HTTP GET запрос к целевому серверу, чтобы аварийно завершить его работу.

Также сообщается, что сервер хранит пароли пользователя в открытом виде в 'surgeldap\user.dat' файле.

Также сообщается, что удаленный пользователь может запросить несуществующий файл, чтобы определить инсталляционный путь.

Также сообщается, что сценарий 'user.cgi' не фильтрует HTML код в данных, представленных пользователем в ‘cmd’ параметре. В результате удаленный пользователь может получить досуп к Куки целевого пользователя, кликнувшего на злонамеренную ссылку. Уязвимость обнаружена в SurgeLDAP 1.x Способов устранения обнаруженной уязвимости не существует в настоящее время.

или введите имя

CAPTCHA