Удаленное выполнение произвольного кода сценария в RealOne Player

Дата публикации:
11.01.2004
Дата изменения:
16.10.2006
Всего просмотров:
666
Опасность:
Средняя
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: RealOne Player 2.0, Build 6.0.11.868

Описание: Уязвимость в проверке правильности входных данных обнаружена в RealOne. Удаленный пользователь может выполнить произвольный код сценария в зоне безопасности “ local computer ”.

Программа не фильтрует HTML код из SMI файлов. Удаленный пользователь может сконструировать специально обработанный SMI файл, который, когда будет загружен целевым пользователем, выполнит произвольный Javascript код. Код может модифицировать файлы не целевой системе пользователя. Пример:

file:javascript:document.write('[JSCODE]')

Пример/Эксплоит: http://www.freewebs.com/arman2/arealexploit.htm

URL производителя: http://www.real.com

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: RealNetworks fails to address Cross-Site Scripting in RealOne Player

или введите имя

CAPTCHA