SQL-инъекция и межсайтовый скриптинг в PunBB

Дата публикации:
12.04.2005
Всего просмотров:
2653
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2005-1051
CVE-2005-1072
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Неавторизованное изменение данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
PunBB 1.x
Уязвимые версии: PunBB 1.2.4 и более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и выполнить произвольные SQL команды в базе данных уязвимого приложения.

1. Уязвимость существует при обработке входных данных при изменении e-mail пользователя. Удаленный пользователь может выполнить произвольные SQL команды на уязвимой системе.

2. Межсайтовый скриптинг возможен из-за недостаточной фильтрации входных данных в некоторых сообщениях. Удаленный пользователь может с помощью специально сформированного сообщения выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

Пример/Эксплоит:
www.securitylab.ru/53935.html

URL производителя: www.punbb.org

Решение: Установите последнюю версию (1.2.5) с сайта производителя.

или введите имя

CAPTCHA