Podatność CVE-2009-4449


Publikacja: 2009-12-29   Modyfikacja: 2012-02-13

Opis:
Directory traversal vulnerability in MyBB (aka MyBulletinBoard) 1.4.10, and possibly earlier versions, when changing the user avatar from the gallery, allows remote authenticated users to determine the existence of files via directory traversal sequences in the avatar and possibly the gallery parameters, related to (1) admin/modules/user/users.php and (2) usercp.php.

Typ:

CWE-22

(Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal'))

CVSS2 => (AV:N/AC:M/Au:S/C:C/I:N/A:N)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
6.3/10
6.9/10
6.8/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Średnia
Jednorazowa
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Pełny
Brak
Brak
Affected software
Mybboard -> MYBB 

 Referencje:
http://blog.mybboard.net/2009/12/29/mybb-1-4-11-released-minor-patch-security-update/
http://www.vupen.com/english/advisories/2009/3651
http://www.securityfocus.com/bid/37489
http://secunia.com/advisories/37906
http://osvdb.org/61359
http://openwall.com/lists/oss-security/2010/12/06/2
http://openwall.com/lists/oss-security/2010/10/11/8
http://openwall.com/lists/oss-security/2010/10/08/7
http://dev.mybboard.net/projects/mybb/repository/revisions/4663/diff/branches/1.4-stable/usercp.php
http://dev.mybboard.net/projects/mybb/repository/revisions/4663/diff/branches/1.4-stable/admin/modules/user/users.php
http://dev.mybboard.net/issues/617

Copyright 2024, cxsecurity.com

 

Back to Top