Программа: Web Wiz Forums 7.0-7.7a 

Несколько уязвимостей обнаружено в Some vulnerabilities were reported in Web Wiz Forums. Удаленный пользователь может внедрить SQL команды и выполнить некоторые административные операции 

Сценарий ‘pop_up_topic_admin.asp’ не проверяет разрешения доступа при обновлении параметров темы. В результате удаленный атакующий может неавторизованно выполнять административные операции над темой форума, типа изменение заголовка темы, закрытие темы, удаление темы и т.п.

Сценарий ‘pop_up_ip_blocking.asp’ не проверяет разрешения доступа при блокировании IP адреса. В результате удаленный атакующий может неавторизованно выполнять административные операции, блокируя
доступ к форуму с произвольных IP адресов. 

Также сценарий ‘pop_up_ip_blocking.asp’ не фильтрует данные, представленные модератором или админом форума в параметре laryCheckedIPAddrID. В результате удаленный неавторизованный пользователь может выполнить произвольные SQL запросы на основной базе данных. Удаленный пользователь, например, может получить доступ к любой учетной записи пользователя и изменить пароль.



Оставить мнение