Обход ограничений безопасности в Progress

Дата публикации:
02.05.2007
Всего просмотров:
931
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2007-2266
CVE-2007-2354
Вектор эксплуатации:
Удаленная
Воздействие:
Раскрытие важных данных
Раскрытие системных данных
Неавторизованное изменение данных
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Progress 8.x
Progress 9.x
Progress 7.x
Уязвимые версии: Progress версии до 10.

Описание:
Уязвимость позволяет удаленному пользователю получить доступ к важным данным и скомпрометировать целевую систему.

Уязвимость существует из-за ошибки проверки входных данных в параметре "WService" в файле scripts/cgiip.exe в Progress Webspeed Messenger. Злоумышленник может вызвать /webutil/_cpyfile.p через вышеуказанный параметр и выполнить произвольный код на целевой системе.

Злоумышленник может также получить данные о версии ОС и версии Progress путем вызова /webutil/about.r через вышеуказанный параметр.

URL производителя: www.progress.com

Решение: Установите последнюю версию (10) с сайта производителя.

или введите имя

CAPTCHA