Несколько уязвимостей в Numara FootPrints

Дата публикации:
05.03.2008
Дата изменения:
05.03.2008
Всего просмотров:
1045
Опасность:
Высокая
Наличие исправления:
Частично
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2008-1213
CVE-2008-1214
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
FootPrints 8.x
Уязвимые версии: Numara FootPrints 8.1 для Linux, возможно более ранние версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за недостаточной обработки входных данных в поле "Title" во время создания встречи. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Для успешной эксплуатации уязвимости требуются валидные учетные данные.

2. Уязвимость существует из-за недостаточной обработки входных данных в параметре "PROJECTNUM" в сценарии MRcgi/MRProcessIncomingForms.pl перед вызовом функции "system()". Удаленный пользователь может с помощью символа "|" внедрить и выполнить произвольные команды на системе.

URL производителя: www.numarasoftware.com/FootPrints.asp

Решение: Способов устранения уязвимости не существует в настоящее время.

или введите имя

CAPTCHA