• Партнер

  • Программа: VHCS 2.x

    Обнаруженные уязвимости позволяют
    удаленному пользователю обойти
    ограничения безопасности, произвести XSS
    нападение и повысить свои привилегии в
    приложении.

    1. Уязвимость существует из-за
    недостаточной обработки входных данных в
    поле username на странице входа при сохранении
    данных в административный лог файл.
    Удаленный пользователь может с помощью
    специально сформированного запроса
    выполнить произвольный код сценария в
    браузере администратора приложения во
    время просмотра лог файла с помощью модуля
    "Admin Log". Уязвимость существует в
    версиях 2.4.6.2 и 2.4.7.1

    2. Уязвимость существует из-за отсутствия
    проверки подлинности пользователя в
    сценарии gui/admin/change_password.php во время смены
    пароля. Уязвимость существует в версиях
    2.4.6.2 и 2.4.7.1.

    3. Уязвимость существует в функции "check_login()"
    сценария gui/include/login.php из-за некорректного
    завершения работы сценария, если сессия
    пользователя не признана валидной.
    Удаленный пользователь может обойти
    поверку подлинности сессии в некоторых
    сценариях, например, admin/add_user.php, что
    позволит злоумышленнику создать учетную
    запись администратора. Уязвимость
    обнаружена в версиях 2.4.6.2 и 2.4.7.1.

    4. Отсутствует должная проверка прав
    пользователей на доступ к сценарию gui/admin/add_user.php.
    Удаленный авторизованный пользователь
    может создать учетную запись
    администратора приложения. Уязвимость
    существует в версиях 2.4.6.2 и 2.4.7.1.

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии