Удаленное выполнение произвольного кода сценария в RealOne Player
| Дата публикации: | 11.01.2004 |
| Дата изменения: | 16.10.2006 |
| Всего просмотров: | 919 |
| Опасность: | Средняя |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Уязвимые версии: RealOne Player 2.0, Build 6.0.11.868
Описание: Уязвимость в проверке правильности входных данных обнаружена в RealOne. Удаленный пользователь может выполнить произвольный код сценария в зоне безопасности “ local computer ”. Программа не фильтрует HTML код из SMI файлов. Удаленный пользователь может сконструировать специально обработанный SMI файл, который, когда будет загружен целевым пользователем, выполнит произвольный Javascript код. Код может модифицировать файлы не целевой системе пользователя. Пример:
file:javascript:document.write('[JSCODE]')
Пример/Эксплоит: http://www.freewebs.com/arman2/arealexploit.htm URL производителя: http://www.real.com Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время. |
|
| Ссылки: | RealNetworks fails to address Cross-Site Scripting in RealOne Player |