Несколько уязвимостей в PsychoBlogger

Дата публикации:
30.12.2003
Всего просмотров:
761
Опасность:
Средняя
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Раскрытие важных данных
Раскрытие системных данных
Неавторизованное изменение данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
PsychoBlogger
Уязвимые версии: PsychoBlogger PB-beta1

Описание: Несколько уязвимостей обнаружены в PsychoBlogger content management system. Удаленный пользователь внедрить SQL команды и выполнить XSS нападение.

Уязвимость обнаружена в параметре 'shoutlimit' в сценарии 'shouts.php' и в параметре 'blogid' в сценарии 'comments.php'. Удаленный пользователь может выполнить произвольные SQL команды на основной базе данных:

1 and 'a'='z' union select ba.authorid,name,pwd,email,url,ba.active,comments,be.blogid from blog_authors ba, blog_entries be where 'a'='a'
Также XSS уязвимость обнаружена в параметре desc в сценарии imageview.php:
http://[target]/imageview.php?desc=</title><script>alert(docum ent.cookie)</script>

URL производителя: http://www.psychoblogger.com/

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: Multiple Vulns in Psychoblogger beta1

или введите имя

CAPTCHA