Программа: McAfee Security Management System

Уязвимость позволяет удаленному
пользователю произвести XSS нападение, атаку
по перебору паролей и повысить свои
привилегии в приложении.

1. Межсайтовый скриптинг возможен из-за
недостаточной обработки входных данных в
параметрах 'thirdMenuName' и 'resourceName' сценария 'intrushield/intruvert/jsp/systemHealth/SystemEvent.jsp'.
Удаленный пользователь может послать
специально сформированный запрос и
выполнить произвольный HTML сценарий в
браузере жертвы в контексте безопасности
уязвимого сайта.

2. Удаленный авторизованный пользователь
может установить значение параметра 'fullAccessRight'
в true в сценарии 'reports-column-center.jsp' и получить
доступ к секции создания отчетов.

3. Удаленный авторизованный пользователь
может установить значение параметра 'fullAccess'
в true в сценарии 'SystemEvent.jsp' и получить доступ
на администрирование сообщений.

4. Удаленный авторизованный пользователь
может определить привилегированные
учетные записи путем подставления данных в
параметр 'userId'.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии