Дата публикации: | 27.12.2012 |
Всего просмотров: | 855 |
Опасность: | Средняя |
Наличие исправления: | Да |
Количество уязвимостей: | 4 |
CVSSv2 рейтинг: | 3.5 (AV:N/AC:M/Au:S/C:N/I:P/A:N/E:U/RL:U/RC:C) 3.5 (AV:N/AC:M/Au:S/C:N/I:P/A:N/E:U/RL:U/RC:C) 3.5 (AV:N/AC:M/Au:S/C:N/I:P/A:N/E:U/RL:U/RC:C) 5.5 (AV:N/AC:L/Au:S/C:P/I:P/A:N/E:U/RL:U/RC:C) |
CVE ID: | Нет данных |
Вектор эксплуатации: | Удаленная |
Воздействие: |
Межсайтовый скриптинг Обход ограничений безопасности |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | DotNetNuke 6.x |
Уязвимые версии: DotNetNuke версий до 6.2.5
Описание: 1. Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Примечание: Успешная эксплуатация уязвимости № 1 требует привилегий на добавление и редактирование страниц. 2. Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Примечание: Успешная эксплуатация уязвимости № 2 требует привилегий на добавление модулей или редактирование модулей страниц. 3. Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Примечание: Успешная эксплуатация уязвимости № 3 требует привилегий на права доступа к добавлению элементов. 4. Уязвимость существует из-за ошибки при реализации проверок доступа в расширенном свойстве видимости. Удаленный пользователь может получить доступ к ограниченным в ином случае проверкам. Примечание: Успешная эксплуатация уязвимости № 4 требует доступа к модулю директории участника. 5. Уязвимость существует из-за ошибки при выгрузке изображения профиля. Удаленный пользователь может загрузить недействительные файлы. URL производителя: http://www.dotnetnuke.com/ Решение: Для устранения уязвимости установите продукт версии 6.2.5 с сайта производителя. |
|
Ссылки: |
http://www.dotnetnuke.com/News/Security-Policy/Security-bulletin-no.70.aspx http://www.dotnetnuke.com/News/Security-Policy/Security-bulletin-no.71.aspx http://www.dotnetnuke.com/News/Security-Policy/Security-bulletin-no.72.aspx http://www.dotnetnuke.com/News/Security-Policy/Security-bulletin-no.73.aspx |