SQL-инъекция и XSS в Ansel

Дата публикации:
08.12.2004
Всего просмотров:
745
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2004-2266
CVE-2004-2267
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Неавторизованное изменение данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Ansel 2.x
Уязвимые версии: Ansel 2.1 и более ранние версии

Описание:
Обнаружено несколько уязвимостей в Ansel. Удаленный атакующий может выполнить произвольный SQL код и XSS.

Уязвимость существует в параметре image. Удаленный атакующий может с помощью специально сформированного URL выполнить произвольные SQL команды.

Также сообщается, что имя альбома не достаточно проверяется. Удаленный атакующий может выполнить произвольный HTML код в браузере целевого пользователя.

URL производителя: freshmeat.net/projects/ansel/

Решение: Установите обновление
ftp://heron.sdsc.edu/pub/ansel-2.2.tar.gz

или введите имя

CAPTCHA