Множественные уязвимости в 04WebServer

Дата публикации:
15.11.2004
Всего просмотров:
1103
Опасность:
Низкая
Наличие исправления:
Частично
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2004-1512
CVE-2004-1513
CVE-2004-1514
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Отказ в обслуживании
Неавторизованное изменение данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
04WebServer 1.x
Уязвимые версии: 04WebServer 1.4.2

Описание:
Обнаружено несколько уязвимостей в 04WebServer. Удаленный атакующий может внедрить произвольные символы в лог файл, выполнить XSS атаку и вызвать отказ в обслуживании.

1. Уязвимость существует из-за некорректной обработки HTML кода при отображении результата запроса к несуществующей страницы (ошибка 404). Удаленный атакующий может с помощью специально сформированного URL выполнить произвольный HTML код в браузере жертвы. Пример:

http://[target]/<script>alert('XSS');</script>

2. Удаленный атакующий может внедрить произвольный символы в лог файл. Эта уязвимость может быть использована для инсценировки атаки. Пример:

http://[target]/a%0a[22;45;24]%20< 192.168.1.3>%20(74,632)%20
[%90%b3%8f%ed%82%c9%8f%49%97%b9%82
%b5%82%dc%82%b5%82%bd]%20GET%20/hack

3. Удаленный атакующий может обратиться к MS-DOS устройству, что приведет к отказу в обслуживании при попытке перезапустить службу. Пример:

http://[target]/COM2

URL производителя: www.soft3304.net/04WebServer

Решение: Установите обновление от производителя.

Ссылки: 04WebServer Input Validation Holes Let Remote Users Inject Log Entries and Conduct Cross-Site Scripting Attacks

или введите имя

CAPTCHA