Межсайтовый скриптинг и повышение привилегий в Musicmatch Jukebox

Дата публикации:18.04.2005
Всего просмотров:898
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2005-1167
CVE-2005-1168
CVE-2005-1185
CVE-2005-1186
Вектор эксплуатации: Удаленная
Воздействие: Неавторизованное изменение данных
Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Musicmatch Jukebox 10
Musicmatch Jukebox 9
Musicmatch Jukebox 8.x
Уязвимые версии: Musicmatch Jukebox 10.00.2047 и более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и локальному пользователю повысить свои привилегии на системе.

1. Уязвимость существует в функции CreateProcess() файла 'MMFWLaunch.exe' из-за некорректной обработки входных данных. Локальный пользователю может выполнить произвольный файл с привилегиями пользователя, запустившего приложения.

2. Межсайтовый скриптинг возможен из-за недостаточной обработки HTML тегов. Удаленный пользователь может выполнить произвольный HTML од в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: www.musicmatch.com

Решение: Установите обновление от производителя.

Ссылки: Musicmatch Jukebox Lets Local Users Gain Elevated Privileges and Remote Users Conduct Cross-Site Scripting Attacks