Уязвимости Несколько уязвимостей в RSS агрегаторе Feedsplitter
| Дата публикации: | 27.09.2006 |
| Дата изменения: | 27.09.2006 |
| Всего просмотров: | 1199 |
| Опасность: | Средняя |
| Наличие исправления: | Нет |
| Количество уязвимостей: | 1 |
| CVSSv2 рейтинг: | |
| CVE ID: |
CVE-2006-4549 CVE-2006-4550 CVE-2006-4551 CVE-2006-4552 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Раскрытие важных данных Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | |
| Уязвимые продукты: | Feedsplitter |
Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и просмотреть произвольные файлы на системе.
1. Уязвимость существует из-за ошибки при обработке RSS/RDF каналов в сценарии feedsplitter.php. Удаленный пользователь может выполнить произвольный код сценария в браузере жертвы в контексте безопасности сайта, который использует уязвимый сценарий Feedsplitter.
2. Уязвимость существует из-за недостаточной обработки входных данных в параметре "format" в сценарии feedsplitter.php. Удаленный пользователь может с помощью символов обхода каталога просмотреть содержимое некоторых XML файлов на системе.
Примечание: Уязвимость может быть эксплуатирована в дальнейшем для выполнения произвольного PHP кода при отключенной опции "magic_quotes_gpc" и знании пути к директории кеша, если не используется значение по умолчанию.
Сценарий также содержит функцию "showsource()", которая может использоваться для отображения исходного кода сценария.
URL производителя: chxo.com/software/feedsplitter/
Решение: Способов устранения уязвимости не существует в настоящее время.
Блоги
TOP Новости 
Уязвимости 09 февраля, 2012
07 февраля, 2012
06 февраля, 2012
03 февраля, 2012
Подписка
Вирусы