Несколько уязвимостей в VisitorBook LE

Дата публикации:
13.12.2003
Всего просмотров:
923
Опасность:
Средняя
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
VisitorBook LE 1.x
Уязвимые версии: VisitorBook 1.x

Описание: Несколько уязвимостей обнаружено в VisitorBook LE. Удаленный пользователь может выполнить XSS нападение или анонимно посылать произвольные email сообщения.

Удаленный пользователь может внедрить почтовые заголовки, используя разрывы строк в email адресе:

victim@domain1
From: spammer@domain2
Subject: $$$ hardcore XXX
...
Удаленный пользователь может представить запись с несколькими разрывами строк в $max_posts переменной, чтобы нарушить удалить лог файлы и нарушить целостность базы данных.

Межсайтовый скриптинг обнаружен в сценарии visitorbook.pl:

http://fester/cgi-bin/visitorbook.pl?do=<script>alert('hello')</script>

URL производителя: http://www.command-o.com/visitorbook/index.html

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: Visitorbook LE Multiple Vulnerabilities

или введите имя

CAPTCHA