Раскрытие инсталляционного пути и межсайтовый скриптинг в SurgeMail
| Дата публикации: | 05.06.2004 |
| Всего просмотров: | 955 |
| Опасность: | Низкая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Раскрытие системных данных |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | SurgeMail 1.x |
| Уязвимые версии: SurgeMail 1.9 и более ранние версии
Описание: Несколько уязвимостей обнаружено в SurgeMail. Удаленный пользователь может определить инсталляционный путь. Удаленный пользователь может выполнить XSS нападение. 1. Раскрытие пути: http://x.x.x.x:7080/scripts/ http://x.x.x.x:7080/scripts/err.txt2.
http://x.x.x.x:7080/<script>alert('Vulnerable')</script>
http://x.x.x.x:7080/<script>alert(document.cookie)</script>
URL производителя:http://netwinsite.com/surgemail/ Решение:Установите последнюю версию программы: ftp://ftp.netwinsite.com/pub/surgemail/beta http://www.netwinsite.com/surgemail/help/updates.htm |
|
| Ссылки: | EXPL-A-2004-002 exploitlabs.com Advisory 028 |