PHP-инклюдинг и межсайтовый скриптинг в Nodez
| Дата публикации: | 20.03.2006 |
| Всего просмотров: | 1929 |
| Опасность: | Высокая |
| Наличие исправления: | Нет |
| Количество уязвимостей: | 1 |
| CVE ID: |
CVE-2006-1162 CVE-2006-1163 CVE-2006-1164 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | Nodez 4.x |
| Уязвимые версии: Nodez 4.6.1.1, возможно более ранние версии.
Описание: 1. Уязвимость существует из-за недостаточной обработки входных данных в параметре "op". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 2. Уязвимость существует из-за недостаточной обработки входных данных в параметре "op". Удаленный пользователь может подключить и выполнить произвольные локальные файлы на системе. Дальнейшая эксплуатация уязвимости возможна путем записи PHP код в файл "list.gtdat", который хранит данные о зарегистрированных пользователях. Пример/Эксплоит: см. Источник сообщения. URL производителя: nodez.greentinted.com/?node=1032 Решение: Способов устранения уязвимости не существует в настоящее время. |
|
| Ссылки: | Nodez [PHP Code Injection][Local File Inclusion][Unauthenticated Access(Data files)] Vulnerabilities |