Несколько уязвимостей в TUTOS
| Дата публикации: | 15.04.2004 |
| Всего просмотров: | 1261 |
| Опасность: | Средняя |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Неавторизованное изменение данных |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | TUTOS 1.x |
| Уязвимые версии: TUTOS 1.1.20031017
Описание: Несколько уязвимостей обнаружено в TUTOS. Удаленный пользователь может выполнить SQL инъекцию, определить инсталляционный путь и выполнить XSS нападение. Программа не проверяет данные, представленные пользователем, перед их отображением в браузере. Уязвимы следующие сценарии: http://[tutos]/php/company_new.php http://[tutos]/php/app_new.php http://[tut os]/php/task_new.php http://[tutos]/php/[xxxx]_new.phpУдаленный пользователь может представить специально обработанный HTTP запрос, чтобы заставить систему отобразить инсталляционный путь и другую, потенциально чувствительную информацию. Пример: http://[tutos]/php/note/note_overview.php?id=1;Также удаленный пользователь может внедрить SQL команды, которые будут выполнены на основной базе данных. URL производителя: http://www.tutos.org/ Решение:Установите обновленную версию программы: http://www.tutos.org/homepage/download.html |
|
| Ссылки: | Multiple vulnerabilities in Tutos |