Множественные уязвимости в AlstraSoft Affiliate Network Pro
| Дата публикации: | 21.11.2005 |
| Дата изменения: | 18.07.2008 |
| Всего просмотров: | 1830 |
| Опасность: | Высокая |
| Наличие исправления: | Нет |
| Количество уязвимостей: | 1 |
| CVE ID: |
CVE-2005-3793 CVE-2005-3795 CVE-2005-3794 CVE-2005-3796 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Раскрытие системных данных Неавторизованное изменение данных Обход ограничений безопасности Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | AlstraSoft Affiliate Network Pro 7.x |
| Уязвимые версии: AlstraSoft Affiliate Network Pro 7.2 и более ранние версии
Описание:
1. SQL-инъекция возможна из-за недостаточной обработки входных данных в полях username и password в административном интерфейсе и параметрах "login", "password", и "flag" в сценарии "login_validate.php". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Удаленный пользователь может внедрить PHP код в параметр "number" сценария "admin_options_manage.php". 2. Межсайтовый скриптинг возможен из-за недостаточной обработки входных данных в параметре "Err" цсенария "admin/index.php", параметрах "firstname" и "lastname" сценария "index.php". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный HTML код в браузере жертвы в контексте безопасности уязвимого сайта. URL производителя: www.alstrasoft.com Решение: Способов устранения уязвимости не существует в настоящее время. Источник: |