Программа: FTGatePro Mail Server 1.x 

Несколько уязвимостей обнаружено в FTGatePro. Злонамеренный
пользователь может раскрыть чувствительную информацию и выполнить XSS
нападение против пользователя системы. Удаленный пользователь может раскрыть инсталляционный путь,
подключаясь к Web Admin интерфейсу (8089/tcp порт) и запрашивая
"/utility/wmsecurity.fts" файл. Для успешной эксплуатации не требуется
авторизация. Уязвимость в проверке правильности входных данных обнаружена в
параметре "href" в "index.fts" файле. Удаленный атакующий может выполнить
XSS нападение против пользователя системы. POP3 cервер возвращает различные ответы, когда введено неправильное
имя пользователя и когда введено правильное имя пользователя и неправильный
пароль. 

Пример/Эксплоит: 

http://[victim]:8089/utility/wmsecurity.fts 
http://[victim]:8089/help/index.fts?href= <script>alert(document.cookie)</script>

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии