Security Lab

Выполнение произвольного кода в Dynamic Guestbook

Дата публикации:08.04.2002
Всего просмотров:1288
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Dynamic Guestbook - бесплатный guestbook для UNIX, LINUX и Microsoft Windows.

1. Dynamic Guestbook не санирует потенциально злонамеренные символы в полях формы. В результате удаленный нападающий может выполнять произвольные команды с привилегиями процесса web сервера.

2. Dynamic Guestbook не достаточно санирует потенциально злонамеренные символы, типа HTML тэгов, в полях формы. В результате возможно ввести произвольный код сценария в страницы, которые произведены guestbook. Сценарий будет выполнен в клиентах других пользователей, при просмотре уязвимой HTML страницы.

Уязвимость найдена в Dynamic Guestbook 3.0

Ссылки: Источник