Security Lab

Sql инъекция и межсайтовый скриптинг в Hummingbird CyberDOCS DOCSFusion Server

Дата публикации:13.10.2003
Всего просмотров:1271
Опасность:
Средняя
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: Hummingbird CyberDOCS DOCSFusion Server 3.1-3.9,4.0

Описание: Несколько уязвимостей обнаружено в CyberDOCS. Злонамеренный пользователь может выполнить SQL инъекцию и XSS нападения.

  1. Уязвимость в проверке правильности входных данных обнаружена в сценарии входа в систему "loginact.asp". В результате удаленный пользователь может манипулировать существующим Sql запросом, чтобы внедрить произвольный Sql код, который будет выполнен на основной базе данных.
  2. Несколько Web страниц не проверяют возвращенные данные, представленные пользователем. В результате удаленный пользователь может эксплуатировать XSS нападение против пользователей CyberDOCS.
  3. Страница ошибки, сгенерированная при неудачной попытке входа в систему, раскрывает абсолютный путь к Web root каталогу.
  4. Небезопасные разрешения по умолчанию установлены на нескольких CyberDOCS сценариях (".inc"). В результате удаленный пользователь может раскрыть чувствительную информацию, содержащуюся в этих сценариях.

URL производителя:http://www.hummingbird.com/

Решение:Установите соответствующее обновление: ftp://ftptlh.hummingbird.com/patches/cyberdocs/cyd40p4.exe

Ссылки: http://www.procheckup.com/security_info/vuln_pr0302.html