Podatność CVE-2007-6502


Publikacja: 2007-12-20   Modyfikacja: 2012-02-12

Opis:
Hosting Controller 6.1 Hot fix 3.3 and earlier allows remote authenticated users to obtain sensitive information via (1) the AdminName and AdminLevel parameters to fp2000/NEWSRVR.asp, which discloses usernames; and (2) certain XML HTTP requests to hosting/css.asp using Microsoft.XMLHTTP or MSXML2.XMLHTTP objects, which trigger a response with the setup directory pathname in the HTML source; and (3) might allow remote attackers to obtain sensitive information via a request for /admin/forum/, which reveals the path in an error message when a forum is not found.

W naszej bazie, znaleźliśmy następujące noty dla tego CVE:
Tytuł
Autor
Data
High
Hosting Controller - Multiple Security Bugs (Extremely Critical)
www.BugReport.ir
21.12.2007

Typ:

CWE-200

(Information Exposure)

CVSS2 => (AV:N/AC:L/Au:S/C:P/I:P/A:N)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
5.5/10
4.9/10
8/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Jednorazowa
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Częściowy
Brak
Affected software
Hosting controller -> Hosting controller 

 Referencje:
http://hostingcontroller.com/english/logs/Post-Hotfix-3_3-sec-Patch-ReleaseNotes.html
http://securityreason.com/securityalert/3474
http://securitytracker.com/id?1019222
http://www.securityfocus.com/archive/1/485028/100/0/threaded
http://www.securityfocus.com/bid/26862
https://exchange.xforce.ibmcloud.com/vulnerabilities/39039
https://exchange.xforce.ibmcloud.com/vulnerabilities/39043
https://www.exploit-db.com/exploits/4730

Copyright 2024, cxsecurity.com

 

Back to Top