Множественные уязвимости в ELOG

Дата публикации:
06.11.2006
Дата изменения:
07.04.2009
Всего просмотров:
1750
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2006-5790
CVE-2006-5791
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Отказ в обслуживании
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
ELOG 2.x
Уязвимые версии: ELOG 2.6.2-1, возможно более ранние версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение, вызвать отказ в обслуживании и скомпрометировать целевую систему.

1. Уязвимость существует из-за недостаточной обработки входных данных в параметре "Type" при добавлении новой записи, в параметре "Category" при добавлении новой категории и в URL. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость форматной строки обнаружена в функции "el_submit()" в файле elogd.c. Удаленный пользователь может аварийно завершить работу Web сервера и выполнить произвольный код на целевой системе.

URL производителя: midas.psi.ch/elog/

Решение: Установите последнюю версию 2.6.4-1 с сайта производителя.

Журнал изменений:

07.04.2009
Изменено описание уязвимостей.

Ссылки: elog: Needs a security audit
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=392016

или введите имя

CAPTCHA