Security Lab

Просмотр произвольных файлов и XSS в PROPS

Дата публикации:02.05.2004
Всего просмотров:1234
Опасность:
Средняя
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: PROPS 0.6.1

Описание: Две уязвимости обнаружены в PROPS. Удаленный пользователь может просматривать файлы на системе. Удаленный пользователь может выполнить XSS нападение.

1. Функция glossary_init() в 'lib/glossary.php' не фильтрует данные, представленные пользователем в переменных $module и $format. В результате удаленный пользователь может просматривать произвольные файлы на системе:

 /?module=../config&format=php
2. XSS:
/?module=archives&op=search&search_string="><script>alert()</script>

URL производителя:http://props.sourceforge.net/

Решение:Установите обновленную версию программы: http://sourceforge.net/project/showfiles.php?group_id=29581

Ссылки: Props 0.6.1 XSS and Remote File Viewing Vulnerability