Security Lab

Доступ к базе данных и межсайтовый счкриптинг в Ocean12 ASP Guestbook Manager

Дата публикации:17.04.2003
Всего просмотров:1355
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Уязвимость обнаружена в Ocean12 ASP Guestbook Manager. Удаленный пользователь может загрузить базу данных, содержащую пароль администратора. Удаленный пользователь также может выполнить XSS нападение.

Black Tigerz Research Group сообщил, что сценарий 'add.asp' не фильтрует HTML код в полях "Name", "E-Mail", и "Message". В результате удаленный атакующий может выполнить произвольный HTML код в контексте Ocean12 сайта, который может обращаться к куки целевого пользователя.

Также сообщается, что удаленный пользователь может загрузить базу данных MS Access, в которой содержится пароль администратора в открытом виде. Пример:

http://[target]/guestbook/admin/o12guest.mdb
Уязвимость обнаружена в Ocean12 ASP Guestbook 1.00
Ссылки: Ocean12 ASP Guestbook Manager v1.00