Множественные уязвимости в DUWare DUportal

Дата публикации:
19.12.2003
Всего просмотров:
902
Опасность:
Высокая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Внедрение в сессию пользователя
Повышение привилегий
Обход ограничений безопасности
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
DUware DUportal 3.x
Уязвимые версии: DUWare DUportal 3.0

Описание: Несколько уязвимостей обнаружено в DUportal. Удаленный пользователь может получить доступ к системе.

Функция загрузки файлов на сервер не в состоянии правильно определить тип файлов. Проверка происходит только на стороне клиента, в результате чего пользователь может просто обойти эту проверку и загрузить произвольные сценарии, вместо файлов изображений, на уязвимую систему.

Также программное обеспечение не проверяет правильность нескольких параметров, типа "username", в результате чего злонамеренный пользователь может выполнить XSS нападение.

Также возможно изменить пароль произвольных учетных записей, манипулируя скрытыми полями формы.

Также можно получить привилегии администратора, изменяя параметр "U_ACCESS, который также определен в скрытом полк формы.

Пример/Эксплоит: http://www.gulftech.org/vuln/DUd3.html

URL производителя: http://www.duware.com

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: Multiple Vulnerabilities In DU Ware Products

или введите имя

CAPTCHA