Программа: 04WebServer 1.4.2
Обнаружено несколько уязвимостей в 04WebServer. Удаленный атакующий может внедрить произвольные символы в лог файл, выполнить XSS атаку и вызвать отказ в обслуживании.
1. Уязвимость существует из-за некорректной обработки HTML кода при отображении результата запроса к несуществующей страницы (ошибка 404). Удаленный атакующий может с помощью специально сформированного URL выполнить произвольный HTML код в браузере жертвы.
Пример:
http://[target]/<script>alert('XSS');</script>
2. Удаленный атакующий может внедрить произвольный символы в лог файл. Эта уязвимость может быть использована для инсценировки атаки.
Пример:
http://[target]/a%0a[22;45;24]%20< 192.168.1.3>%20(74,632)%20 [%90%b3%8f%ed%82%c9%8f%49%97%b9%82
%b5%82%dc%82%b5%82%bd]%20GET%20/hack
3. Удаленный атакующий может обратиться к MS-DOS устройству, что приведет к отказу в обслуживании при попытке перезапустить службу.
Пример:
http://[target]/COM2