Межсайтовый скриптинг и обход каталога в eMotion MediaPartner

Дата публикации:
13.01.2005
Всего просмотров:
800
Опасность:
Средняя
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2005-0286
CVE-2005-0335
CVE-2005-0336
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Раскрытие важных данных
Раскрытие системных данных
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
eMotion MediaPartner 5.x
Уязвимые версии: MediaPartner 5.0

Описание:
Обнаружено две уязвимости в eMotion MediaPartner. Удаленный пользователь может выполнить XSS нападение и просмотреть произвольный файл на системе с привилегиями web севера.

Удаленный пользователь может с помощью символов переходя между каталогами (‘../’) просмотреть произвольные файлы на уязвимой системе. Пример:

http://[target]/../../../boot.ini

Удаленный пользователь может создать специальным образом URL и выполнить произвольный HTML сценарий в браузере жертвы. Пример:

http://[target]/../../<script>alert(.portcullis.)</script>../../

URL производителя: http://www.emotion.com

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: Directory Traversal Vulnerability and Cross Site Scripting Issue

или введите имя

CAPTCHA