Security Lab

Несколько уязвимостей в CloisterBlog

Дата публикации:30.03.2004
Всего просмотров:993
Опасность:
Низкая
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Раскрытие важных данных
Раскрытие системных данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: CloisterBlog 1.x
Уязвимые версии: CloisterBlog 1.2.2

Описание: Несколько уязвимостей обнаружено в CloisterBlog. Удаленный пользователь может просматривать файлы на целевой системе. Удаленный авторизованный пользователь может получить административный доступ. Удаленный пользователь может выполнить XSS нападение.

Пример:

/cloisterblog/journal.pl?syear=2004&sday=11&smonth=../../../../../../.. /../etc/passwd%00
Также сообщается, что административная часть не достаточно аутентифицирует администратора – проверяется только пароль, вместо USER ID и пароля.

URL производителя: http://freshmeat.net/projects/cloisterblog/

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: Multiple Vulnerabilities in Cloisterblog web blog/journal