 |
14.01.2009 14:32 |
| |
Множественные уязвимости в QuoteBook |
 |
14 января, 2009
Программа: QuoteBook
Опасность: Средняя
Наличие эксплоита: Нет
Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение, получить доступ к важным данным и выполнить произвольные SQL команды в базе данных приложения.
1.Уязвимость существует из-за недостаточной обработки входных данных в параметрах QuoteName и QuoteText в сценарии quotesadd.php, когда параметр addQuote установлен в непустое значение. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
2.Уязвимость существует из-за недостаточного ограничения доступа к сценарию quotes.inc. Удаленный пользователь может просмотреть содержимое файла и получить доступ к учетным данным для подключения к MySQL.
3.Уязвимость существует из-за недостаточной обработки входных данных в параметрах MyBox и selectFavorites в сценарии quotes.php, и в параметрах QuoteName и QuoteText в сценарии quotesadd.php, когда параметр addQuote установлен в непустое значение. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
URL производителя: www.freedville.com/oss/QuoteBook/readme.php
Решение: Способов устранения уязвимости не существует в настоящее время.
URL адреса: http://milw0rm.com/exploits/7699
|
|
|
Навигация по порталу: 
