компьютерный форум
Вернуться   Компьютерный форум > IT новости > Новости IT индустрии > Security news (безопасность)

Ответ
 
LinkBack Опции темы Опции просмотра
Старый 29.08.2005, 12:56   #1
PRO-двинутые пользователи
 
Регистрация: 06.04.2004
Сообщений: 3,788
По умолчанию

Программа: PostNuke версии до 0.760

Опасность: Средняя

Наличие эксплоита: Да

Описание:
Обнаруженная уязвимость позволяет удаленному пользователю произвести XSS нападение и выполнить произвольные SQL команды в базе данных приложения.



Уязвимость существует из-за недостаточной обработки данных в параметре show в сценарии modules/Downloads/dl-viewdownload.php. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения. Пример:

http://[HOST]/[DIR]/index.php?name=Downloads&req
=viewdownload&cid=1&show=[SQL%20INJECTION]

Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

http://[HOST]/[DIR]/index.php?module=Comments&req=
moderate&moderate=xss

http://cxib.server/PostNuke-0.760-RC4b/
html/user.php?op=edituser&htmltext=xss

URL производителя: Программа: PostNuke версии до 0.760

Опасность: Средняя

Наличие эксплоита: Да

Описание:
Обнаруженная уязвимость позволяет удаленному пользователю произвести XSS нападение и выполнить произвольные SQL команды в базе данных приложения.

Уязвимость существует из-за недостаточной обработки данных в параметре show в сценарии modules/Downloads/dl-viewdownload.php. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения. Пример:

http://[HOST]/[DIR]/index.php?name=Downloads&req
=viewdownload&cid=1&show=[SQL%20INJECTION]

Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

http://[HOST]/[DIR]/index.php?module=Comments&req=
moderate&moderate=xss

http://cxib.server/PostNuke-0.760-RC4b/
html/user.php?op=edituser&htmltext=xss

URL производителя: www.postnuke.com

Решение: Установите последнюю версию с сайта производителя.

Решение: Установите последнюю версию с сайта производителя.




Imperio вне форума  
Digg this Post!Bookmark Post in Technorati
Ответить с цитированием
29.08.2005, 12:56
Техник
реклама
По умолчанию

Ответ


Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.



Текущее время: 13:11. Часовой пояс GMT.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot
Content Relevant URLs by vBSEO 3.5.0 RC2