Межсайтовый скриптинг и обход аутентификации в ar-blog
| Дата публикации: | 26.10.2005 |
| Всего просмотров: | 1205 |
| Опасность: | Средняя |
| Наличие исправления: | Нет |
| Количество уязвимостей: | 1 |
| CVE ID: |
CVE-2005-3494 CVE-2005-3495 CVE-2006-0333 CVE-2006-1893 CVE-2006-2809 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Неавторизованное изменение данных Обход ограничений безопасности |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | ar-blog 5.x |
| Уязвимые версии: ar-blog 5.2
Описание: 1. Уязвимость обнаружена при обработке входных данных в добавляемом комментарии. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. 2. Уязвимость обнаружена при обработке процесса аутентификации. Удаленный пользователь может изменить определенным образом данные в файле куки и получить административный доступ к приложению. URL производителя: www.ar-blog.com Решение: Способов устранения уязвимости не существует в настоящее время. Источник: |
|
| Ссылки: | aRCHILLES Newsworld < 1.5.0-rc1 Multiple Vulnerabilities |