Security Lab

Раскрытие стека сервера в Vignette StoryServer

Дата публикации:11.04.2003
Всего просмотров:923
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Уязвимость раскрытия информации обнаружена в Vignette StoryServer. Удаленный пользователь может получить чувствительную информацию из стека сервера.

@stake сообщил, что TCL интерпретатор в программе содержит уязвимость, которая позволяет удаленному пользователю отобразить стек сервера. Удаленный пользователь может получить информацию о сеансах пользователей, код сервера, и другую чувствительную информацию.

Чтобы вызвать недостаток, удаленный пользователь должен представить запрос о динамически созданной странице, содержащий большое количество кавычек, пример:

https://[target]/securelogin/1,2345,A,00.html?Errmessage="x214>x214
Уязвимость обнаружена в Vignette StoryServer 4.1, 6
Ссылки: Vignette StoryServer