Программа: e-Business Designer 2.3.3 и 3.1.4, возможно другие версии. 

Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение, получить доступ к важным данным и скомпрометировать уязвимую систему.

1. Уязвимость существует из-за наличия небезопасных сценариев на системе. Удаленный пользователь может загрузить и выполнить произвольный PHP сценарий на системе с помощью сценария «common/html_editor/image_browser.upload.html» или изменить содержимое произвольных файлов с помощью сценария «common/html_editor/html_editor.html».

2. Уязвимость существует из-за недостаточной обработки входных данных в параметре «id» в сценарии «admin/form_grupo.html». Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

3. Обнаружено несколько ошибок при обработке входных данных. Удаленный пользователь может получить данные об установочной директории приложения на системе.

Для успешной эксплуатации уязвимости в версии 3.1.4 требуются административные привилегии.



Оставить мнение