Межсайтовый скриптинг в Kamgaing Email System
| Дата публикации: | 01.05.2006 |
| Всего просмотров: | 1311 |
| Опасность: | Низкая |
| Наличие исправления: | Нет |
| Количество уязвимостей: | 1 |
| CVE ID: |
CVE-2006-2104 CVE-2006-7062 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Межсайтовый скриптинг |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | Kamgaing Email System |
| Уязвимые версии: Kamgaing Email System 2.3, возможно более ранние версии.
Описание: Уязвимость существует из-за недостаточной обработки входных данных в параметрах "id" и "ordner" в сценарии main.php, параметре "draft" в сценарии compose.php, параметре "ordner" в сценарии webdisk.php и в параметрах "m" и "y" в сценарии calendar.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример:
/main.php?action=showmail&id=[XSS]&bmsession /main.php?ordner=[XSS]&bmsession=1f2a3aeb01f /compose.php?bmsession=1f2a3aeb01fd5253be32 /webdisk.php?bmsession=1f2a3aeb01fd5253be32 /calendar.php?action=viewMonth&m=[XSS]&y=200 /calendar.php?action=viewMonth&m=5&y=[XSS]&b URL производителя: www.webofall.com/displaynews.php?id=4 Решение: Способов устранения уязвимости не существует в настоящее время. |
|
| Ссылки: | Kmail <=2.3 vuln. |