Межсайтовый скриптинг и SQL иньекция в WebCalendar

Дата публикации:
05.09.2003
Всего просмотров:
1043
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:

Уязвимые версии: Webcalendar <= 0.9.42

Описание: Несколько уязвимостей обнаружено в WebCalendar. Злонамеренный пользователь может выполнить XSS нападение. Злонамеренный пользователь может выполнить произвольный SQL код.

Множество сценариев в программе не фильтруют HTML код в параметрах, представленных пользователем. Также, если используется magic_quotes_gpc, то удаленный пользователь может выполнить произвольный SQL код в параметрах "user" и "password” в сценарии "login.php".

Пример/Эксплоит: 1. XSS

 
colors.php?color=<malicious_code>
week.php?user="><malicious_code>
day.php, month.php, week_details.php, view_l.php, view_m.php, view_t.php, view_v.php, view_w.php и week_details.php – все эти сценарии не фильтруют параметр "eventinfo".

2. SQL инъекция:

http://www.host.name/webcalendar/
login.php?user='additional%20sqlcommand

http://www.host.name/webcalendar/
login.php?password='additional%20sql%20command

URL производителя:http://webcalendar.sourceforge.net/

Решение:

Отредактируйте исходный код уязвимых сценариев. Отключите использование magic_quotes_gpc в php.ini файле.

Ссылки: WebCalendar
или введите имя

CAPTCHA