Межсайтовый скриптинг в Jupiter Content Manager
| Дата публикации: | 12.04.2006 |
| Всего просмотров: | 1458 |
| Опасность: | Высокая |
| Наличие исправления: | Нет |
| Количество уязвимостей: | 1 |
| CVE ID: |
CVE-2006-1679 CVE-2006-1680 CVE-2006-2105 CVE-2006-4876 CVE-2006-4874 CVE-2006-4875 CVE-2007-0971 CVE-2007-0972 CVE-2007-0973 CVE-2007-0987 CVE-2007-0986 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Раскрытие важных данных Раскрытие системных данных Неавторизованное изменение данных Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | Jupiter Content Manager 1.x |
| Уязвимые версии: Jupiter Content Manager 1.1.5, возможно более ранние версии.
Описание: Уязвимость существует из-за недостаточной обработки входных данных в параметре "layout" сценария index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример: http://[host]/index.php?n=modules/online&&a=1&language=1&layout=[code] Удаленный пользователь может также вызвать сценарий "modules/online.php" и получить данные об установочной директории приложения на системе. URL производителя: www.highstrike.net Решение: Способов устранения уязвимости не существует в настоящее время. |