Дата публикации: | 27.09.2006 |
Всего просмотров: | 2677 |
Опасность: | Средняя |
Наличие исправления: | Нет |
Количество уязвимостей: | 1 |
CVE ID: |
CVE-2006-4549 CVE-2006-4550 CVE-2006-4551 CVE-2006-4552 |
Вектор эксплуатации: | Удаленная |
Воздействие: |
Межсайтовый скриптинг Раскрытие важных данных Компрометация системы |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | Feedsplitter |
Уязвимые версии: Feedsplitter
Описание:
1. Уязвимость существует из-за ошибки при обработке RSS/RDF каналов в сценарии feedsplitter.php. Удаленный пользователь может выполнить произвольный код сценария в браузере жертвы в контексте безопасности сайта, который использует уязвимый сценарий Feedsplitter. 2. Уязвимость существует из-за недостаточной обработки входных данных в параметре "format" в сценарии feedsplitter.php. Удаленный пользователь может с помощью символов обхода каталога просмотреть содержимое некоторых XML файлов на системе. Примечание: Уязвимость может быть эксплуатирована в дальнейшем для выполнения произвольного PHP кода при отключенной опции "magic_quotes_gpc" и знании пути к директории кеша, если не используется значение по умолчанию. Сценарий также содержит функцию "showsource()", которая может использоваться для отображения исходного кода сценария. URL производителя: chxo.com/software/feedsplitter/ Решение: Способов устранения уязвимости не существует в настоящее время. |