Security Lab

Множественные уязвимости в op5 Monitor

Дата публикации:29.08.2012
Всего просмотров:936
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:4
CVSSv2 рейтинг: 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C)
4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C)
6.4 (AV:N/AC:L/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C)
6.4 (AV:N/AC:L/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C)
CVE ID: Нет данных
Вектор эксплуатации: Локальная сеть
Воздействие: Межсайтовый скриптинг
Неавторизованное изменение данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: op5 Monitor 5.x
Уязвимые версии: op5 Monitor 5.4.2, возможно другие версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти ограничения безопасности на системе.

1. Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует из-за недостаточной обработки входных данных в параметре host parameter в command/submit. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

3. Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

4. Уязвимость существует из-за недостаточной обработки входных данных в параметре items_per_page в status/hostgroup_grid и status/service/a. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

URL производителя: http://www.op5.com/

Решение: Для устранения уязвимостей установите исправление с сайта производителя.

Ссылки: http://www.op5.com/news/support-news/known-issues/security-vulnerabilities-op5-monitor/
http://www.exploit-db.com/exploits/20760/