Written от SEC в Февраль 7, 2008
Программа: Customer Testimonials (дополнение к osCommerce) 3.1, возможно более ранние версии
Опасность: Средняя
Наличие эксплоита: Нет
Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.
Уязвимость существует из-за недостаточной обработки входных данных в параметре “testimonial_id” в сценарии customer_testimonials.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Пример:
(Читать Больше…)
Written от SEC в Февраль 6, 2008
Written от SEC в
Программа: xine-lib 1.1.10, возможно более ранние версии
Опасность: Высокая
Наличие эксплоита: Нет
Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.
Уязвимость существует из-за ошибки проверки границ данных в функции “open_flac_file()” в файле src/demuxers/demux_flac.c. Удаленный пользователь может с помощью специально сформированного FLAC файла вызвать повреждение памяти и выполнить произвольный код на целевой системе.
(Читать Больше…)
Written от SEC в Февраль 4, 2008
Программа: WP-Footnotes (плагин к WordPress) 2.2, возможно более ранние версии
Опасность: Низкая
Наличие эксплоита: Нет
Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.
Уязвимость существует из-за недостаточной обработки входных данных в элементах “pre_footnotes”, “priority”, “post_footnotes” и “style_rules” массива “wp_footnotes_current_settings[]” в сценарии admin_panel.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Для успешной эксплуатации уязвимости опция “register_globals” должна быть включена в конфигурационном файле PHP.
(Читать Больше…)
Written от SEC в
Программа:sflog! 0.96, возможно более ранние версии
Опасность: Средняя
Наличие эксплоита: Да
Описание:
Уязвимость позволяет удаленному пользователю получить доступ к важным данным на системе.
Уязвимость существует из-за недостаточной обработки входных данных в параметрах “permalink” и “section” в сценарии index.php. Удаленный пользователь может с помощью специально сформированного запроса, содержащего символы обхода каталога, просмотреть содержимое произвольных файлов на системе. Пример:
(Читать Больше…)
Written от SEC в Февраль 2, 2008
Программа: Linux kernel 2.6.x
Опасность: Низкая
Наличие эксплоита: Нет
Описание:
Уязвимость позволяет локальному пользователю вызвать отказ в обслуживании системы.
Уязвимость существует из-за ошибки разыменования нулевого указателя в функции chrp_show_cpuinfo в файле arch/powerpc/platforms/chrp/setup.c. Локальный пользователь может аварийно завершить работу системы. Для успешной эксплуатации уязвимости требуется наличие определенного PowerPC оборудования.
(Читать Больше…)
Written от SEC в Январь 27, 2008
Программа: phpBB 2.0.22, возможно более ранние версии
Опасность: Низкая
Наличие эксплоита: Нет
Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.
Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов при выполнении некоторых действий. Удаленный пользователь может с помощью специально сформированного Web сайта удалить личные сообщения пользователя форума.
(Читать Больше…)
Written от SEC в Январь 26, 2008
Программа:
Docsvault Professional Edition 2.0
Docsvault Small Business Edition 2.0
Опасность: Средняя
Наличие эксплоита: Нет
Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.
Уязвимость существует из-за того, что приложение использует уязвимую версию Firebird. Подробное описание уязвимости:
www.securitylab.ru/vulnerability/304176.php
(Читать Больше…)
Written от SEC в
Программа:Seagull PHP Framework 0.6.3, возможно более ранние версии
Опасность: Средняя
Наличие эксплоита: Да
Описание:
Уязвимость позволяет удаленному пользователю получить доступ к важным данным на системе.
Уязвимость существует из-за недостаточной обработки входных данных в параметре “files” в сценарии www/optimizer.php. Удаленный пользователь может с помощью специально сформированного запроса, содержащего символы обхода каталога, просмотреть содержимое произвольных файлов на системе. Пример:
(Читать Больше…)
Written от SEC в Январь 25, 2008
Программа: International Components for Unicode 3.8.1, возможно более ранние версии
Опасность: Средняя
Наличие эксплоита: Нет
Описание:
Обнаруженные уязвимости позволяют удаленному пользователю вызвать отказ в обслуживании и скомпрометировать целевую систему.
1. Уязвимость существует из-за ошибки при обработке регулярных выражений, содержащих специально сформированную ссылку. Удаленный пользователь может аварийно завершить работу приложения, использующего уязвимую библиотеку.
(Читать Больше…)