Доступ к произвольным файлам и раскрытие опознавательной информации в Forum Web Server
| Дата публикации: | 04.06.2003 |
| Дата изменения: | 17.10.2006 |
| Всего просмотров: | 1037 |
| Опасность: | Низкая |
| Наличие исправления: | Нет |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Локальная |
| Воздействие: | Раскрытие важных данных |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | Forum Web Server 1.x |
| Описание: | Несколько уязвимостей обнаружено в Forum Web Server. Удаленный пользователь может просматривать файлы на системе. Удаленный пользователь, способный контролировать сетевой трафик, может получить пароли пользователей.
Сообщается, что удаленный пользователь, способный просматривать трафик между Web клиентом и сервером, может просмотреть пароли целевого пользователя. Сервер устанавливает куки, в которых содержатся имя пользователя и пароль целевого пользователя. Пример: Host: 10.10.10.1 Cookie: IDHTTPSESSIONID=3ertf3dsxfy3aqW; UserID=user10; PassWD=0000Также сообщается, что удаленный пользователь может просматривать произвольные команды на системе. Пример: http://10.10.10.1/../../../boot. iniУязвимость обнаружена в Forum Web Server 1.6 |
| Ссылки: | Vulnerability Under the Forum Web Server v1.6 |