Несколько уязвимостей в Flyspray

Дата публикации:
03.03.2008
Дата изменения:
03.03.2008
Всего просмотров:
961
Опасность:
Низкая
Наличие исправления:
Частично
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2008-1165
CVE-2008-1166
Вектор эксплуатации:
Удаленная
Воздействие:
Брут-форс атака
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Flyspray
Уязвимые версии: Flyspray 0.9.9.4, возможно более ранние версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и получить доступ к важным данным.

1. Уязвимость существует из-за недостаточной обработки входных данных в параметре "item_summary" в сценарии index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует из-за того, что приложение возвращает различные сообщения об ошибке входа в зависимости от корректности имени пользователя. Удаленный пользователь может произвести брут-форс атаку.

URL производителя: flyspray.org

Решение: Для устранения уязвимости #1 установите последнюю версию 0.9.9.5 с сайта производителя. Способов устранения уязвимости #2 не существует в настоящее время.

или введите имя

CAPTCHA