Security Lab

Несколько уязвимостей в NuKed-KlaN

Дата публикации:26.02.2003
Всего просмотров:910
Опасность:
Низкая
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Раскрытие системных данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Nuked-Klan 1.x
Описание: Несколько уязвимостей в проверки правильности ввода обнаружено в NuKed-KlaN. Удаленный атакующий может выполнить XSS нападение и получить информацию о конфигурации сервера.

Security Corporation обнаружил уязвимости в Team, News, и Links сценариях. Уязвимость может использоваться для перехвата опознавательной информации, хранящийся в куки пользователя. Пример:

http://[target]/index.php?file=Team&op=<script>alert('Test');</script>

http://[target]/index.php?file=News&op=<script>alert ('test');</script>

http://[target]/index.php?file=Liens&op=<script>alert('test');</script>
Также сообщается, что удаленный пользователь может выполнить phpinfo() функцию, которая раскрывает информацию о конфигурации сервера. Пример:
http://[target]/index.php?file=N ews&op=phpinfo

http://[target]/index.php?file=Team&op=phpinfo

http://[target]/index.php?file=Liens&op=phpinfo
Уязвимость обнаружена в NuKed-KlaN 1.3
Ссылки: XSS & Function Execution Vulnerabilities in Nuked-Klan