Дата публикации: | 06.05.2009 |
Всего просмотров: | 1909 |
Опасность: | Низкая |
Наличие исправления: | Инстуркции по устранению |
Количество уязвимостей: | 1 |
CVE ID: |
CVE-2009-1293 CVE-2009-1294 |
Вектор эксплуатации: | Удаленная |
Воздействие: |
Межсайтовый скриптинг Раскрытие важных данных |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | Novell Teaming 1.x |
Уязвимые версии: Novell Teaming 1.0.3, возможно более ранние версии
Описание: 1. Уязвимость существует из-за того, что приложение возвращает различные ответы в зависимости от корректности введенного имени пользователя. Удаленный пользователь может узнать имена учетных записей в приложении. 2. Уязвимость существует из-за недостаточной обработки входных данных в параметрах "p_p_state" и "p_p_mode" в сценарии "web/guest/home". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
3. Уязвимость существует из-за двух ошибок в Liferay Portal. Удаленный пользователь может произвести XSS нападение. Подробное описание уязвимостей: URL производителя: www.novell.com/products/teaming/ Решение: Для устранения уязвимостей следуйте инструкциям производителя. |
|
Ссылки: |
http://www.novell.com/support/viewContent.do?externalId=7002997 http://www.novell.com/support/viewContent.do?externalId=7002999 https://www.sec-consult.com/files/20090415-0-novell-teaming.txt |