Множественные уязвимости в CuteNews

Дата публикации:
26.01.2009
Дата изменения:
26.01.2009
Всего просмотров:
7799
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
CuteNews 1.x
Уязвимые версии: CuteNews 1.4.6, возможно более ранние версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и скомпрометировать целевую систему.

1. Уязвимость существует из-за недостаточной обработки входных данных в параметре "mod" в сценарии index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует из-за недостаточной обработки входных данных в параметре "add_ip" при сохранении данных в файл data/ipban.db.php во время блокировки пользователя по IP адресу. Удаленный пользователь может внедрить и выполнить произвольный PHP код на целевой системе с привилегиями Web сервера.

URL производителя: www.cutephp.com

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: CuteNews <= 1.4.6 (ip ban) XSS/Command Execution Exploit (adm req.)

или введите имя

CAPTCHA