Повышение привилегий и раскрытие информации в Icecast

Дата публикации:
21.03.2005
Всего просмотров:
1087
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Раскрытие важных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Icecast 2.x
Уязвимые версии: Icecast 2.20

Описание:
Уязвимость позволяет локальному пользователю повысить свои привилегии на системе и удаленному пользователю получить доступ к XSL файлам.

Локальный пользователь может создать специально сформированный XSL файл, который будет выполнен с привилегиями пользователя, запустившего его. Пример:

<xsl:when test="<lots of chars>"></xsl:when>
< xsl:if test="<lots of chars>"></xsl:if>
< xsl:value-of select="<lots of chars>" />

Удаленный пользователь может механизм авторизации и получить доступ к XSL файлам. Пример:

GET /auth.xsl. HTTP/1.0
GET /status.xsl. HTTP/1.0

URL производителя: http://www.icecast.org

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: IceCast up to v2.20 multiple vulnerabilities

или введите имя

CAPTCHA