Программа: Elog
Найденные уязвимости позволяют удаленному злоумышленнику выполнить произвольный код на целевой системе, осуществить XSS нападение и выполнить DoS атаку.
1) Уязвимость возникает из-за ошибки в проверке входных данных множественными сценариями. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.
2) Уязвимость возникает из-за ошибки форматирования строки в функции EL_Submit. Атакующий может выполнить произвольный код на целевой системе в контексте безопасности запущенного приложения.
3) Уязвимость возникает из-за ошибки в обработке HTTP GET запросов, если имя 'global' используется в запросе. Атакующий может отправить специально сформированный запрос, что приведет к ошибке NULL указателя и краху сервиса.
Примеры:
HTTP GET запрос:
http://www.example.com/global/
или создать logbook секции [global_xxx] или [global xxx] в elogd.cfg и попытаться получить к ним доступ с помощью браузера:
http://www.example.com/global_xxx/
http://www.example.com/global%20xxx/
