Security Lab

Переполнение буфера и Межсайтовый скриптинг в AN HTTP Server

Дата публикации:11.04.2005
Всего просмотров:967
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: AN HTTP Server 1.42n

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и локальному пользователю выполнить произвольный код на системе.

Переполнение буфера обнаружено в плагине 'cmdIS.DLL'. Локальный пользователю может создать специально сформированный BAT файл и выполнить произвольный код на целевой системе.

Межсайтовый скриптинг возможет из-за недостаточной обработки входных данных перед записью их в лог файл. Удаленный пользователь может записать произвольные HTML сценарий в лог файл, который будет выполнен во время чтения логов в браузере администратора.

URL производителя: www.st.rim.or.jp/~nakata/

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: AN HTTPD Server cmdIS.DLL Buffer Overflow and LogFile Arbitrary Character Injection Vulnerabilities