Дата публикации: | 01.05.2006 |
Всего просмотров: | 1269 |
Опасность: | Низкая |
Наличие исправления: | Нет |
Количество уязвимостей: | 1 |
CVE ID: |
CVE-2006-2104 CVE-2006-7062 |
Вектор эксплуатации: | Удаленная |
Воздействие: | Межсайтовый скриптинг |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | Kamgaing Email System |
Уязвимые версии: Kamgaing Email System 2.3, возможно более ранние версии.
Описание: Уязвимость существует из-за недостаточной обработки входных данных в параметрах "id" и "ordner" в сценарии main.php, параметре "draft" в сценарии compose.php, параметре "ordner" в сценарии webdisk.php и в параметрах "m" и "y" в сценарии calendar.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример:
/main.php?action=showmail&id=[XSS]&bmsession /main.php?ordner=[XSS]&bmsession=1f2a3aeb01f /compose.php?bmsession=1f2a3aeb01fd5253be32 /webdisk.php?bmsession=1f2a3aeb01fd5253be32 /calendar.php?action=viewMonth&m=[XSS]&y=200 /calendar.php?action=viewMonth&m=5&y=[XSS]&b URL производителя: www.webofall.com/displaynews.php?id=4 Решение: Способов устранения уязвимости не существует в настоящее время. |
|
Ссылки: | Kmail <=2.3 vuln. |