Несколько уязвимостей в PsychoBlogger
| Дата публикации: | 30.12.2003 |
| Всего просмотров: | 1086 |
| Опасность: | Средняя |
| Наличие исправления: | Нет |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Раскрытие важных данных Раскрытие системных данных Неавторизованное изменение данных |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | PsychoBlogger |
| Уязвимые версии: PsychoBlogger PB-beta1
Описание: Несколько уязвимостей обнаружены в PsychoBlogger content management system. Удаленный пользователь внедрить SQL команды и выполнить XSS нападение. Уязвимость обнаружена в параметре 'shoutlimit' в сценарии 'shouts.php' и в параметре 'blogid' в сценарии 'comments.php'. Удаленный пользователь может выполнить произвольные SQL команды на основной базе данных: 1 and 'a'='z' union select ba.authorid,name,pwd,email,url,ba.active,comments,be.blogid from blog_authors ba, blog_entries be where 'a'='a'Также XSS уязвимость обнаружена в параметре desc в сценарии imageview.php: http://[target]/imageview.php?desc=</title><script>alert(docum ent.cookie)</script> URL производителя: http://www.psychoblogger.com/ Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время. |
|
| Ссылки: | Multiple Vulns in Psychoblogger beta1 |