Несколько уязвимостей в VisitorBook LE
| Дата публикации: | 13.12.2003 |
| Всего просмотров: | 1173 |
| Опасность: | Средняя |
| Наличие исправления: | Нет |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Обход ограничений безопасности |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | VisitorBook LE 1.x |
| Уязвимые версии: VisitorBook 1.x
Описание: Несколько уязвимостей обнаружено в VisitorBook LE. Удаленный пользователь может выполнить XSS нападение или анонимно посылать произвольные email сообщения. Удаленный пользователь может внедрить почтовые заголовки, используя разрывы строк в email адресе: victim@domain1 From: spammer@domain2 Subject: $$$ hardcore XXX ...Удаленный пользователь может представить запись с несколькими разрывами строк в $max_posts переменной, чтобы нарушить удалить лог файлы и нарушить целостность базы данных. Межсайтовый скриптинг обнаружен в сценарии visitorbook.pl:
http://fester/cgi-bin/visitorbook.pl?do=<script>alert('hello')</script>
URL производителя: http://www.command-o.com/visitorbook/index.html Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время. |
|
| Ссылки: | Visitorbook LE Multiple Vulnerabilities |