Информационная безопасность
[RU] switch to English


Cводка уязвимостей безопасности в Web-приложениях (PHP, ASP, JSP, CGI, Perl)
Опубликовано:21 мая 2011 г.
Источник:
SecurityVulns ID:11681
Тип:удаленная
Уровень опасности:
5/10
Описание:Инъекции PHP, инъекции SQL, обратный путь в каталогах, межсайтовый скриптинг, модификация файлов, утечка информации и т.д.
Затронутые продукты:APACHE : Struts 2.2
 WORDPRESS : Easy Contact 0.1
 OPENSYMPHONY : XWork 2.2
 PHPCAPTCHA : PHPCaptcha 2.0
 TWIKI : TWiki 5.0
 ZEACOM : Zeacom Chat Application 5.0
 CUBELABS : PHP Calendar Basic 2.3
CVE:CVE-2011-2088 (XWork 2.2.1 in Apache Struts 2.2.1, and OpenSymphony XWork in OpenSymphony WebWork, allows remote attackers to obtain potentially sensitive information about internal Java class paths via vectors involving an s:submit element and a nonexistent method, a different vulnerability than CVE-2011-1772.3.)
 CVE-2011-1838 (Multiple cross-site scripting (XSS) vulnerabilities in TemplateLogin.pm in TWiki before 5.0.2 allow remote attackers to inject arbitrary web script or HTML via the origurl parameter to a (1) view script or (2) login script.)
 CVE-2010-0217 (Zeacom Chat Server before 5.1 uses too short a random string for the JSESSIONID value, which makes it easier for remote attackers to hijack sessions or cause a denial of service (Chat Server crash or Tomcat daemon crash) via a brute-force attack.)
Оригинальный текстdocumentHigh-Tech Bridge Security Research, HTB22981: Multiple XSS (Cross Site Scripting) vulnerabilities in PHP Calendar Basic (21.05.2011)
 documentDaniel Clemens, CVE-2010-0217 - Zeacom Chat Server JSESSIONID weak SessionID Vulnerability (21.05.2011)
 documentNetsparker Advisories, XSS vulnerability in TWiki < 5.0.2 (21.05.2011)
 documentlists_(at)_senseofsecurity.com, PHPCaptcha / Securimage 2.0.2 - Authentication Bypass - SOS-11-007 (21.05.2011)
 documentmarian.ventuneac_(at)_gmail.com, Apache Struts 2, XWork, OpenSymphony WebWork Java Class Path Information Disclosure (21.05.2011)
 documentMustLive, Уязвимости в Easy Contact для WordPress (21.05.2011)

О сайте | Условия использования
© SecurityVulns, 3APA3A, Владимир Дубровин
Нижний Новгород