Podatność CVE-2006-4954


Publikacja: 2006-09-23   Modyfikacja: 2012-02-12

Opis:
The updateuser servlet in Neon WebMail for Java before 5.08 does not validate the in_id parameter, which allows remote attackers to modify information of arbitrary users, as demonstrated by modifying (1) passwords and (2) permissions, (3) viewing profile settings, and (4) creating and (5) deleting users.

CVSS2 => (AV:N/AC:L/Au:N/C:P/I:P/A:P)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
7.5/10
6.4/10
10/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Częściowy
Częściowy
Affected software
Neosys -> Neon webmail 

 Referencje:
http://vuln.sg/neonmail506-en.html
http://www.securityfocus.com/bid/20109
http://www.securityfocus.com/bid/84203
http://xforce.iss.net/xforce/xfdb/29089

Copyright 2024, cxsecurity.com

 

Back to Top