Загрузка произвольных вложений в MailSite Express
| Дата публикации: | 20.10.2005 |
| Дата изменения: | 24.03.2009 |
| Всего просмотров: | 1036 |
| Опасность: | Средняя |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: |
CVE-2005-3428 CVE-2005-3429 CVE-2005-3430 CVE-2005-3431 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | MailSite 6.x |
| Уязвимые версии: MailSite Express 6.1.20 и более ранние версии
Описание: Уязвимость обнаружена при обработке разрешений файлов. Приложение создает легко угадываемое имя файла в кеш-директории внутри web каталога. Злоумышленник может загрузить исполняемый сценарий и выполнить его на целевой системе с привилегиями web сервера. URL производителя: www.rockliffe.com/products/mailsite-email-server-software.asp Решение: Установите последнюю версию с сайта производителя. В качестве временного решения, рекомендуется убрать привилегии на выполнение с кеш-директории, хотя это не решит проблему с HTML файлами. Источник: Журнал изменений: |
|
| Ссылки: | Mailsite has vulnerability in attachments |