Множественные уязвимости в PHPads

Дата публикации:
03.02.2009
Дата изменения:
03.02.2009
Всего просмотров:
1909
Опасность:
Средняя
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Раскрытие важных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
PHPads 2.x
Уязвимые версии: PHPads 2.0, возможно более ранние версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и получить доступ к важным данным.

1. Уязвимость существует из-за недостаточной обработки входных данных в параметре "ad_name" в сценарии admin.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта при просмотре специально сформированного рекламного сообщения.

2. Уязвимость существует из-за недостаточного ограничения доступа к файлу "ads.dat". Удаленный пользователь может скачать файл и получить доступ к имени пользователя администратора и хешу пароля.

URL производителя: blondish.net/scripts/phpads/

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: http://www.push55.co.uk/index.php?s=ad&id=5
http://www.push55.co.uk/poclibrary/blondishnet-1.txt

или введите имя

CAPTCHA