Программа: DUWare DUportal 3.0
Несколько уязвимостей обнаружено в DUportal. Удаленный пользователь может получить доступ к системе.
Функция загрузки файлов на сервер не в состоянии правильно определить тип файлов. Проверка происходит только на стороне клиента, в результате чего пользователь может просто обойти эту проверку и загрузить произвольные сценарии, вместо файлов изображений, на уязвимую систему.
Также программное обеспечение не проверяет правильность нескольких параметров, типа "username", в результате чего злонамеренный пользователь может выполнить XSS нападение.
Также возможно изменить пароль произвольных учетных записей, манипулируя скрытыми полями формы.
Также можно получить привилегии администратора, изменяя параметр "U_ACCESS, который также определен в скрытом
поле формы.
