Раскрытие инсталляционного пути и межсайтовый скриптинг в SurgeMail

Дата публикации:
05.06.2004
Всего просмотров:
705
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Раскрытие системных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
SurgeMail 1.x
Уязвимые версии: SurgeMail 1.9 и более ранние версии

Описание: Несколько уязвимостей обнаружено в SurgeMail. Удаленный пользователь может определить инсталляционный путь. Удаленный пользователь может выполнить XSS нападение.

1. Раскрытие пути:

http://x.x.x.x:7080/scripts/
http://x.x.x.x:7080/scripts/err.txt
2.
http://x.x.x.x:7080/<script>alert('Vulnerable')</script>
http://x.x.x.x:7080/<script>alert(document.cookie)</script>

URL производителя:http://netwinsite.com/surgemail/

Решение:Установите последнюю версию программы:

ftp://ftp.netwinsite.com/pub/surgemail/beta
http://www.netwinsite.com/surgemail/help/updates.htm


Ссылки: EXPL-A-2004-002 exploitlabs.com Advisory 028
или введите имя

CAPTCHA