SQL-инъекция и XSS в Ansel

Дата публикации:08.12.2004
Всего просмотров:821
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2004-2266
CVE-2004-2267
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Неавторизованное изменение данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Ansel 2.x
Уязвимые версии: Ansel 2.1 и более ранние версии

Описание:
Обнаружено несколько уязвимостей в Ansel. Удаленный атакующий может выполнить произвольный SQL код и XSS.

Уязвимость существует в параметре image. Удаленный атакующий может с помощью специально сформированного URL выполнить произвольные SQL команды.

Также сообщается, что имя альбома не достаточно проверяется. Удаленный атакующий может выполнить произвольный HTML код в браузере целевого пользователя.

URL производителя: freshmeat.net/projects/ansel/

Решение: Установите обновление
ftp://heron.sdsc.edu/pub/ansel-2.2.tar.gz