Множественные уязвимости в Cherokee

Дата публикации:
03.06.2011
Всего просмотров:
685
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
2
CVSSv2 рейтинг:
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:ND/RL:O/RC:C) = Base:4.3/Temporal:0
(AV:N/AC:M/Au:N/C:P/I:P/A:P/E:ND/RL:O/RC:C) = Base:6.8/Temporal:0
CVE ID:
CVE-2011-2190
CVE-2011-2191
Вектор эксплуатации:
Удаленная
Воздействие:
Брут-форс атака
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Cherokee 1.x
Уязвимые версии: Cherokee версии до 1.2.99

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

1. Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов при выполнении некоторых действий. Удаленный пользователь может произвести CSRF нападение и выполнить произвольные команды.

2. Уязвимость существует из-за того, что механизм генерации паролей администратора создает предсказуемые пароли. Удаленный пользователь может узнать пароль администратора.

URL производителя: http://www.cherokee-project.com/

Решение: Установите последнюю версию 1.2.99 с сайта производителя.

Ссылки: http://archives.neohapsis.com/archives/fulldisclosure/2011-05/0574.html
http://code.google.com/p/cherokee/issues/detail?id=1212

или введите имя

CAPTCHA