Несколько уязвимостей в Joomla JCE Admin Component

Дата публикации:
09.12.2006
Дата изменения:
24.03.2009
Всего просмотров:
2980
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2006-6419
CVE-2006-6420
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Раскрытие важных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
JCE Admin Component 1.x (компонент к Joomla)
Уязвимые версии: Joomla JCE Admin Component 1.0.4 с Security Patch (2006-08-21), возможно более ранние версии.

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к важным данным на системе.

1. Уязвимость существует из-за недостаточной обработки входных данных в параметрах "img", "title", "w" и "h" в сценарии jce.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует из-за недостаточной обработки входных данных в параметрах "plugin" и "file" в сценарии jce.php. Удаленный пользователь может с помощью символов обхода каталога просмотреть содержимое произвольных файлов на системе.

URL производителя: www.cellardoor.za.net/index.php?option=com_docman&task=cat_view&gid=1&Itemid=6

Решение: Установите последнюю версию с сайта производителя.

Журнал изменений:
24.03.2009
Изменена секция "Решение"

или введите имя

CAPTCHA