Несколько уязвимостей в NuKed-KlaN
| Дата публикации: | 26.02.2003 |
| Всего просмотров: | 953 |
| Опасность: | Низкая |
| Наличие исправления: | Нет |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Раскрытие системных данных |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | Nuked-Klan 1.x |
| Описание: | Несколько уязвимостей в проверки правильности ввода обнаружено в NuKed-KlaN. Удаленный атакующий может выполнить XSS нападение и получить информацию о конфигурации сервера. Security Corporation обнаружил уязвимости в Team, News, и Links сценариях. Уязвимость может использоваться для перехвата опознавательной информации, хранящийся в куки пользователя. Пример:
http://[target]/index.php?file=Team&op=<script>alert('Test');</script>
http://[target]/index.php?file=News&op=<script>alert ('test');</script>
http://[target]/index.php?file=Liens&op=<script>alert('test');</script>
Также сообщается, что удаленный пользователь может выполнить phpinfo() функцию, которая раскрывает информацию о конфигурации сервера. Пример:
http://[target]/index.php?file=N ews&op=phpinfo http://[target]/index.php?file=Team&op=phpinfo http://[target]/index.php?file=Liens&op=phpinfoУязвимость обнаружена в NuKed-KlaN 1.3 |
| Ссылки: | XSS & Function Execution Vulnerabilities in Nuked-Klan |