 |
16.07.2009 11:31 |
| |
Межсайтовый скриптинг в MediaWiki |
 |
14 июля, 2009
Программа: Fretsweb 1.2, возможно другие версии.
Опасность: Средняя
Наличие эксплоита: Да
Описание:
Обнаруженные уязвимости позволяют удаленному пользователю получить доступ к важным данным и выполнить произвольные SQL команды в базе данных приложения.
1.Уязвимость существует из-за недостаточной обработки входных данных в параметре name в сценарии player.php и в параметре hash в сценарии song.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
2.Уязвимость существует из-за недостаточной обработки входных данных в параметре language и в параметре файла куки fretsweb_language в сценарии admin/common.php. Удаленный пользователь может с помощью специально сформированного запроса, содержащего символы обхода каталога, просмотреть содержимое произвольных файлов на системе.
URL производителя: fretsweb.sourceforge.net
Решение: Установите последнюю версию 1.3 с сайта производителя.
Источники: FretsWeb 1.2 (name) Remote Blind SQL Injection Exploit
URL адреса: http://milw0rm.com/exploits/8979
CVE: CVE-2009-2109CVE-2009-2113
|
|
|
Навигация по порталу: 
