Множественные уязвимости в Falt4 CMS

Дата публикации:
01.03.2009
Дата изменения:
01.03.2009
Всего просмотров:
2197
Опасность:
Высокая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2008-6178
CVE-2009-0648
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Falt4 CMS
Уязвимые версии: Falt4 CMS

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и скомпрометировать целевую систему.

1. Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов перед выполнением некоторых действий. Удаленный пользователь может произвести CSRF нападение и изменить пароль администратора приложения.

2. Уязвимость существует из-за некорректных ограничений на доступ к сценарию modules/newsletter/FCKeditor/editor/filemanager/browser/default/connectors/php/connector.php. Удаленный пользователь может загрузить и выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера. Для успешной эксплуатации уязвимости требуется определенная конфигурация web сервера (например, должен быть включен модуль "mod_mime" для Web сервера Apache).

URL производителя: www.falt4.org

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: Falt4 CMS RC4 (fckeditor) Arbitrary File Upload Exploit
http://packetstorm.linuxsecurity.com/0902-exploits/falt4-cms-xsrf.txt

или введите имя

CAPTCHA