Множественные уязвимости в продуктах Sky Arc Systems

Дата публикации:
04.11.2011
Всего просмотров:
463
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
2
CVSSv2 рейтинг:
(AV:N/AC:M/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C) = Base:6.8/Temporal:5
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
CVE ID:
CVE-2011-3993
CVE-2011-3994
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
AutoTagging 0.x (Movable Type plugin)
DuplicateEntry 1.x (Movable Type plugin)
MTCMS 5.x
MultiFileUploader 0.x (Movable Type plugin)
Уязвимые версии: MTCMS version 5.251, возможно более ранние версии
MTCMS Enterprise version 5.251, возможно более ранние версии
MTCMS Smart version 5.251, возможно более ранние версии
MultiFileUploader Movable Type plugin version 0.44, возможно более ранние версии
DuplicateEntry Movable Type plugin version 1.2, возможно более ранние версии
AutoTagging Movable Type plugin version 0.08, возможно более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

1. Уязвимость существует из-за того, что некоторые привилегированные действия не ограничены должным образом. Удаленный пользователь может управлять определенными настройками и файлами.

2. Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов при выполнении некоторых действий. Удаленный пользователь может произвести CSRF нападение.

URL производителя: http://www.skyarc.co.jp/

Решение: Установите исправление с сайта производителя.

Ссылки: http://www.mtcms.jp/news/product/201110131921.html
http://www.skyarc.co.jp/engineerblog/entry/multifileuploader.html
http://www.skyarc.co.jp/engineerblog/entry/duplicateentry.html
http://www.skyarc.co.jp/engineerblog/entry/autotagging.html
http://jvn.jp/en/jp/JVN56667137/index.html
http://jvn.jp/en/jp/JVN41032068/index.html
http://jvndb.jvn.jp/en/contents/2011/JVNDB-2011-000093.html
http://jvndb.jvn.jp/en/contents/2011/JVNDB-2011-000094.html

или введите имя

CAPTCHA