Xakep #305. Многошаговые SQL-инъекции
PGP Keyserver, поставляемый Network Associates, содержит уязвимость, которая позволяет
нападающему получить доступ к административному Web интерфейсу без установления подлинности. Изменения конфигурации через установление подлинности происходят в следующем URL:
http://server.name/keyserver/cgi-bin/console.exe?page_size=...
http://server.name/keyserver/cgi-bin/cs.exe?action=...
PGP Keyserver позволяет нападающим исполнять административные задачи без установления подлинности, используя следующий URL:
http://server.name/cgi-bin/console.exe?page_size=...
http://server.name/cgi-bin/cs.exe?action=...
Уязвимость работает в PGP Keyserver 7.0 for Windows NT.
Для устанения проблемы прочитайте рекомендации: