Программа: DUWare DUportal 3.0 

Несколько уязвимостей обнаружено в DUportal. Удаленный пользователь может получить доступ к системе.
Функция загрузки файлов на сервер не в состоянии правильно определить тип файлов. Проверка происходит только на стороне клиента, в результате чего пользователь может просто обойти эту проверку и загрузить произвольные сценарии, вместо файлов изображений, на уязвимую систему. 

Также программное обеспечение не проверяет правильность нескольких параметров, типа «username», в результате чего злонамеренный пользователь может выполнить XSS нападение. 

Также возможно изменить пароль произвольных учетных записей, манипулируя скрытыми полями формы. 

Также можно получить привилегии администратора, изменяя параметр «U_ACCESS, который также определен в скрытом
поле формы.



Оставить мнение