Security Lab

Несколько уязвимостей в Message Foundry

Дата публикации:22.07.2003
Всего просмотров:1044
Опасность:
Средняя
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Раскрытие важных данных
Неавторизованное изменение данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Message Foundry 2.x
Описание:

Несколько уязвимостей обнаружено в Message Foundry. Удаленный пользователь может выполнить XSS нападение. Локальный пользователь может просмотреть пароли администратора системы. Удаленный авторизованный пользователь может изменить пароль другого пользователя.

Программа не фильтрует HTML код в данных, представленных пользователем в поле "NAME". Удаленный пользователь может сконструировать специально обработанное значение имени, чтобы выполнить произвольный код сценария в браузере целевого пользователя, просматривающего сообщения. 

Также сообщается, что файл ‘MF.ini' хранит имя пользователя и пароль администратора в открытом виде. Локальный пользователь может просматривать пароли. 

Также сообщается, что удаленный авторизованный пользователь может изменять пароль целевого пользователя. Удаленный авторизованный пользователь может представить имя целевого пользователя в "New Login ID" поле в разделе "Edit Profile" с произвольным паролем.

Уязвимость обнаружена в Message Foundry 2.75.0003

Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: Message Foundry