Security Lab

Удаленный административный доступ в Newsscript

Дата публикации:30.05.2003
Дата изменения:17.10.2006
Всего просмотров:964
Опасность:
Низкая
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Newsscript 1.x
Описание: Уязвимость в проверке правильности ввода обнаружена в Newsscript. Удаленный пользователь может получить административный доступ в пределах сценария.

Сообщается, что сценарий “write.php" не проверяет данные, представленные пользователем в течение "edit profile" процесса. Удаленный пользователь может внедрить "<~>" строку, которая может использоваться для внедрения произвольных данных в базу данных. Удаленный пользователь может изменить свое имя к 'Peter<~>2', чтобы получить административный доступ к сценарию.

Уязвимость обнаружена в Newsscript 1.0

Ссылки: Newsscript Admin Access Vulnerability