Дата публикации: | 15.01.2005 |
Всего просмотров: | 1068 |
Опасность: | Средняя |
Наличие исправления: | Частично |
Количество уязвимостей: | 1 |
CVE ID: |
CVE-2005-0285 CVE-2005-0287 CVE-2005-0288 |
Вектор эксплуатации: | Локальная сеть |
Воздействие: |
Раскрытие важных данных Раскрытие системных данных Повышение привилегий Обход ограничений безопасности |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | Bottomline Webseries |
Уязвимые версии: Bottomline WebSeries
Описание: Несколько внутренних переменных, содержащихся внутри HTML страниц web приложения, позволяют удаленному авторизованному пользователю получить информацию о пути к установочной директории. Удаленный авторизованный пользователь может изменить значения некоторых переменных в файле 'BTInteractiveViewer.asp' во время выбора отчета и определить структуру дерева каталогов на уязвимой системе. Политика паролей (минимальная длина пароля) реализуется с помощью Javascript сценариев. Пользователь может установить пароль длинной в один символ. Удаленный авторизованный пользователь может изменить свой пароль без ввода старого пароля. Удаленный авторизованный пользователь может изменить определенные параметры при выборе отчета и заставить приложение загрузить и выполнить произвольный отчет с любой системы в сети, которая поддерживает общие папки в сети Windows. Удаленный пользователь может выполнить отчет и получить доступ к важной информации на уязвимой системе. URL производителя: http://www.bottomline.co.uk/bacstel-ip/webseries.htm Решение: Способов устранения уязвимости не существует в настоящее время. |
|
Ссылки: | Bottomline WebSeries Discloses Information to Remote Authenticated Users and Lets Users Bypass Password Policy |