Security Lab

Несколько уязвимостей в VisitorBook LE

Дата публикации:13.12.2003
Всего просмотров:1119
Опасность:
Средняя
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: VisitorBook LE 1.x
Уязвимые версии: VisitorBook 1.x

Описание: Несколько уязвимостей обнаружено в VisitorBook LE. Удаленный пользователь может выполнить XSS нападение или анонимно посылать произвольные email сообщения.

Удаленный пользователь может внедрить почтовые заголовки, используя разрывы строк в email адресе:

victim@domain1
From: spammer@domain2
Subject: $$$ hardcore XXX
...
Удаленный пользователь может представить запись с несколькими разрывами строк в $max_posts переменной, чтобы нарушить удалить лог файлы и нарушить целостность базы данных.

Межсайтовый скриптинг обнаружен в сценарии visitorbook.pl:

http://fester/cgi-bin/visitorbook.pl?do=<script>alert('hello')</script>

URL производителя: http://www.command-o.com/visitorbook/index.html

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: Visitorbook LE Multiple Vulnerabilities