Дата публикации: | 04.08.2006 |
Всего просмотров: | 2159 |
Опасность: | Высокая |
Наличие исправления: | Нет |
Количество уязвимостей: | 1 |
CVE ID: |
CVE-2006-3583 CVE-2006-3584 CVE-2006-3585 CVE-2006-3586 CVE-2006-4737 CVE-2006-4738 CVE-2006-4739 CVE-2006-4740 CVE-2007-2732 CVE-2007-2685 CVE-2007-2686 |
Вектор эксплуатации: | Удаленная |
Воздействие: |
Межсайтовый скриптинг Раскрытие системных данных Внедрение в сессию пользователя Неавторизованное изменение данных Компрометация системы |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | Jetbox CMS 2.x |
Уязвимые версии: Jetbox CMS 2.1 SR1, возможно более ранние версии.
Описание: 1. Уязвимость существует при обработке сессий в административной секции приложения. Удаленный пользователь может с помощью специально сформированной ссылки получить доступ к сессии администратора приложения. 2. Уязвимость существует из-за недостаточной обработки URL в сценарии index.php. Удаленный пользователь может переопределить значения определенных переменных и получить доступ к важным данным на системе или произвести XSS нападение. 3. Уязвимость существует из-за недостаточной обработки входных данных в параметре "login" в сценарии admin/cms/index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 4. Уязвимость существует из-за недостаточной обработки входных данных в на странице "Supply news", перед отправкой их сценарию formmail.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 5. Уязвимость существует из-за недостаточной обработки входных данных в URL на странице "Site statistics". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 6. Уязвимость существует из-за недостаточной обработки входных данных в поле "query_string". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 7. Уязвимость существует из-за недостаточной обработки входных данных в параметре "frontsession" в файле куки, в параметре "view" в сценарии index.php, и в параметре "login" в сценарии admin/cms/index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. URL производителя: jetbox.streamedge.com Решение: Способов устранения уязвимости не существует в настоящее время. |
|
Ссылки: | Jetbox Multiple Vulnerabilities |