Дата публикации: | 25.07.2005 |
Всего просмотров: | 1195 |
Опасность: | Средняя |
Наличие исправления: | Да |
Количество уязвимостей: | 1 |
CVE ID: |
CVE-2005-2415 CVE-2005-2416 CVE-2005-2417 |
Вектор эксплуатации: | Удаленная |
Воздействие: |
Межсайтовый скриптинг Раскрытие системных данных Неавторизованное изменение данных |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | Contrexx CMS 1.x |
Уязвимые версии: Contrexx версии до 1.0.5
Описание: 1. SQL-инъекция возможна из-за недостаточной обработки входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Пример:
/index.php?section=gallery&cmd=showCat& 2. Межсайтовый скриптинг возможен в форме поиска при обработке входных данных. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Пример:
/index.php?section=search&term= URL производителя: www.contrexx.com Решение: Установите последнюю версию (1.0.5) с сайта производителя. |
|
Ссылки: | Multiple vulnerabilities in Contrexx |