SgW32 Пятница, 26.04.2024, 10:25
Главная | Регистрация | Вход Приветствую Вас Гость | RSS
Меню сайта

Разделы новостей
Уязвимости [106]
Релизы [7]
Туториалы [0]
Новости сайта [2]
Инетересности [2]
Другое [1]

Наш опрос
Каких программ на сайте не хватает?
Результаты | Архив опросов
Всего ответов: 72
Главная » Уязвимости
Несколько уязвимостей в WikkaWiki
Несколько уязвимостей в WikkaWiki

11 / 05 / 2007

Программа: WikkaWiki версии до 1.1.6.3.

Опасность: Низкая

Наличие эксплоита: Нет

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к важным данным на системе.

1. Уязвимость существует из-за недостаточной обработки входных данных в параметре "name" в сценарии UserSettings. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует из-за ошибки в функционале "RecentChanges". Злоумышленник может получить доступ к некоторым закрытым страницам через RSS.

Решение: Установите последнюю версию (1.1.6.3) с сайта производителя.

Категория: Уязвимости | Просмотров: 790 | Добавил: moneywed | Дата: 11.05.2007 | Комментарии (0)

Versado CMS
PHP-инклюдинг в Versado CMS

08 / 05 / 2007

Программа: Versado CMS 1.07, возможно другие версии.

Опасность: Высокая

Наличие эксплоита: Да

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе.

Уязвимость существует из-за недостаточной обработки входных данных в параметре "urlModulo" в сценарии includes/ajax_listado.php. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера. Для удачной эксплуатации уязвимости опция "register_globals" должна быть включена в конфигурационном файле PHP. Пример:

http://[host]/includes/ajax_listado.php?urlModulo=[file]

Решение: Способов устранения уязвимости не существует в настоящее время.

Категория: Уязвимости | Просмотров: 781 | Добавил: moneywed | Дата: 10.05.2007 | Комментарии (0)

SQL-инъекция в Nuked-Klan
SQL-инъекция в Nuked-Klan

08 / 05 / 2007

Программа: Nuked-Klan 1.7.6, возможно более ранние версии

Опасность: Средняя

Наличие эксплоита: Нет

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

Уязвимость существует из-за недостаточной обработки входных данных в HTTP заголовке "X-Forwarded-For" в сценарии "index.php" и потенциально в других файлах. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Решение: Способов устранения уязвимости не существует в настоящее время.

Категория: Уязвимости | Просмотров: 841 | Добавил: moneywed | Дата: 10.05.2007 | Комментарии (0)

PHPChain 1.0
XSS в PHPChain

06 / 05 / 2007

Программа: PHPChain 1.0, возможно более ранние версии.

Опасность: Низкая

Наличие эксплоита: Нет

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных в параметре "catid" в сценариях settings.php (когда параметр "action" установлен в значение "edit") и cat.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Решение: Способов устранения уязвимости не существует в настоящее время.

Категория: Уязвимости | Просмотров: 824 | Добавил: moneywed | Дата: 07.05.2007 | Комментарии (0)

FileRun
04 / 05 / 2007

Программа: FileRun

Опасность: Средняя

Наличие эксплоита: Нет

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и выполнить произвольные SQL команды в базе данных приложения.

1. Уязвимость существует из-за недостаточной обработки входных данных в параметре "fid" сценария index.php. Удаленный авторизованный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

2. Уязвимость существует из-за недостаточной обработки входных данных в параметрах "page", "module" и "section" в сценарии index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Решение: Способов устранения уязвимости не существует в настоящее время.
________________
inattack.ru

Категория: Уязвимости | Просмотров: 782 | Добавил: moneywed | Дата: 04.05.2007 | Комментарии (0)

CodePress
03 мая, 2007

Программа: CodePress версии до 0.9.4.
Опасность: Низкая

Наличие эксплоита: Нет

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных перед вызовом функции "eval()" в сценарии codepress.html. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: codepress.sourceforge.net

Решение: Установите последнюю версию (0.9.4) с сайта производителя.
---------------------------
http://www.securitylab.ru/vulnerability/295411.php

Категория: Уязвимости | Просмотров: 794 | Добавил: moneywed | Дата: 03.05.2007 | Комментарии (0)

Cisco Adaptive Security Appliance (ASA) 7.x
03 мая, 2007

Программа:
Cisco Adaptive Security Appliance (ASA) 7.x
Cisco PIX 7.x
Опасность: Средняя

Наличие эксплоита: Нет

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности или вызвать отказ в обслуживании.

1. Уязвимость существует из-за ошибки в механизме LDAP аутентификации. Злоумышленник может обойти аутентификацию и получить доступ к устройству или сети. Для успешной эксплуатации уязвимости устройство должно использовать Layer 2 Tunneling Protocol (L2TP) и сконфигурировано на использование LDAP серверов по другим протоколам, отличным от PAP или устройство должно предоставлять удаленный доступ по telnet, SSH или HTTP и использовать LDAP AAA сервер для аутентификации.

2. Уязвимость существует из-за ошибки при обработке VPN соединений, сконфигурированных со сроком жизни пароля. Злоумышленник может вызвать отказ в обслуживании. Для успешной эксплуатации уязвимости для группы tun ... Читать дальше »

Категория: Уязвимости | Просмотров: 869 | Добавил: moneywed | Дата: 03.05.2007 | Комментарии (0)

Trojan-Downloader.Win32.Nurech.bh
Trojan-Downloader.Win32.Nurech.bh
Другие версии: .ab, .aj, .ao, .at, .bf, .bg, .l, .l
Детектирование добавлено 23 апр 2007 08:01 MSK
Обновление выпущено 23 апр 2007 08:24 MSK
Описание опубликовано 26 апр 2007
Поведение Trojan-Downloader, троянский загрузчик

Троянская программа, предназначенная для загрузки из сети Интернет файлов без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 2560 байт. Деструктивная активность

Троянец запускает процесс «IEXPLORE.EXE» и внедряет в него свой вредоносный код, в результате чего происходит скачивание файла по ссылке:

http://souljah.com/****/ie.exe
Файл сохраняется в корневом каталоге Windows:

%WinDir%\ie.exe — имеет размер 117976 байт, детектируется Антивирусом Касперского как Trojan-Dropper.Win32.Delf.adw
Скачанный файл запускается на выполнение, а троянец завершает свою работу.

Рекомендации по удалению

Если ваш компьютер не был защищен антивиру ... Читать дальше »

Категория: Уязвимости | Просмотров: 906 | Добавил: moneywed | Дата: 01.05.2007 | Комментарии (0)

Beast 0.7
Повышение привилегий в Beast

30 / 04 / 2007

Программа: Beast 0.7, возможно ранние версии

Опасность: Средняя

Наличие эксплоита: Нет

Описание:
Не проверяется результат setuid(), что может привести к повышение привилегий через исчерпание пользователем ресурсов.

Локальный пользователь может исчерпать свой лимит ресурсов для того, чтобы вызвать seteuid(), результат которого не проверяется. Это позволяет BEAST работать с привелегиями root. В таком случае, локальный пользователь может испольовать диалог "сохранить как", чтобы перезаписать любой файл в уязвимой системе, что потенциально ведет к DoS (отказу в обслуживании).

Решение: Способов устранения уязвимости не существует в настоящее время.
____________________
inattack.ru

Категория: Уязвимости | Просмотров: 787 | Добавил: moneywed | Дата: 30.04.2007 | Комментарии (0)

Отказ в обслуживании в MyDNS
Отказ в обслуживании в MyDNS

29 / 04 / 2007

Программа: MyDNS 1.1.0, возможно более ранние версии.

Опасность: Средняя

Наличие эксплоита: Да

Описание:
Уязвимость позволяет удаленному пользователю аварийно завершить работу приложения.

Уязвимость существует из-за ошибки проверки входных данных в функции "update_gobble_rr" в файле src/mydns/update.c при обновлении DNS записей. Удаленный пользователь может с помощью специально сформированного DNS запроса вызвать переполнение динамической памяти и аварийно завершить работу приложения. Для успешной эксплуатации уязвимости атакующий должен иметь привилегии на обновления записей и опция "allow-update" должна быть включена в конфигурационном файле mydns.conf.

Решение: Способов устранения уязвимости не существует в настоящее время.

Эксплоит: http://www.inattack.ru/download/bug/exploit_318.txt
__________________
inattack.ru

Категория: Уязвимости | Просмотров: 813 | Добавил: moneywed | Дата: 29.04.2007 | Комментарии (0)

« 1 2 ... 7 8 9 10 11 »
Форма входа

Календарь новостей
«  Апрель 2024  »
ПнВтСрЧтПтСбВс
1234567
891011121314
15161718192021
22232425262728
2930

Поиск

Друзья сайта
  • Скачать Java игры!
  • Нажмите на рекламу, поддержите сайт!!!

    • Integral Calculator
    Enter a function to integrate:

    Variable:

    Limit Calculator
    Enter a function to compute its limit:
    Limit variable: Compute at: Limit type

Статистика
Copyright Sgw32 Corporation © 2024 Используются технологии uCoz