Freitag, 25. Mai 2012
Security aktuell
Die neusten Infos in Kürze:
Ein Überblick über in einschlägigen Mailinglisten und
von Herstellern veröffentlichte Schwachstellen

zusammengestellt von Carsten Eilers
Achtung: Dies ist lediglich eine Übersicht über von den Entdeckern bereits an
anderer Stelle veröffentlichte Schwachstellen.
Alle Angaben ohne Gewähr.                                                                                         Kontakt
Montag, 3. Mai 2010

SQL-Injection über Parameter 'id' im Skript product.html

Systeme: PHP
Gefährdungsstufe: 3 - mittel
Programm: B2B Gold Script

SQL-Injection über Parameter 'id' im Skript offers_buy.php

Systeme: PHP
Gefährdungsstufe: 3 - mittel
Programm: Alibaba.com Clone (B2B Trading Marketplace Script)

Mehrere SQL-Injection-Schwachstellen gefunden

aktualisiert
Systeme: ASP
Gefährdungsstufe: 3 - mittel
Programm: autoDealer

SQL-Injection über Parameter 'iPro' im Skript detail.asp

aktualisiert
Systeme: ASP
Gefährdungsstufe: 3 - mittel
Programm: autoDealer

Lesen möglicherweise binärer Daten aus dem 'key_file' als ASCII kann zu schwachen Schlüsseln führen

Systeme: Unix, Linux
Gefährdungsstufe: 2 - niedrig
Programm: Password Manager Daemon (pwmd)
Freitag, 30. April 2010

Pufferüberlauf beim Senden bestimmter Testsequenzen an einen FTP-Server erlaubt Ausführung beliebigen Codes

Systeme: Windows
Gefährdungsstufe: 5 - sehr hoch
Programm: Internet Download Manager

Einbinden entfernter Dateien über Parameter 'basePath' im Skript inc/config.php

aktualisiert
Systeme: PHP
Gefährdungsstufe: 5 - sehr hoch
Programm: deV!L`z Clanportal (DZCP)

Verwendung uninitialisierten Speichers beim ständigen Schreiben mit document.write() erlaubt evtl. Ausführung beliebigen Codes

aktualisiert
Systeme: Multi, Mac OS X, Windows
Gefährdungsstufe: 5 - sehr hoch
Programm: Opera

SQL-Injection-Schwachstelle gefunden

Systeme: PHP
Gefährdungsstufe: 4 - hoch
Programm: Tirzen Framework (TZN Framework)

Umgehen der Authentifizierung für den Administrationsbereich durch direkten Aufruf der Skripte

Systeme: PHP
Gefährdungsstufe: 4 - hoch
Programm: Zyke CMS

Heraufladen bestimmter Dateitypen ohne vorherige Authentifizierung möglich

Systeme: PHP
Gefährdungsstufe: 4 - hoch
Programm: Zyke CMS

SQL-Injection über den Benutzernamen beim Login erlaubt u.a. das Umgehen der Authentifizierung

Systeme: PHP
Gefährdungsstufe: 4 - hoch
Programm: TaskFreak!

SQL-Injection über den Benutzernamen beim Login erlaubt u.a. das Umgehen der Authentifizierung

Systeme: PHP
Gefährdungsstufe: 4 - hoch
Programm: Your Article Directory

Ausspähen der Quelltexte von JSP-Dateien möglich

aktualisiert
Systeme: Java
Gefährdungsstufe: 3 - mittel
Programm: Apache ActiveMQ

SQL-Injection 2. Grades und Cross-Site Scripting möglich

Systeme: PHP
Gefährdungsstufe: 3 - mittel
Programm: chCounter

SQL-Injection über Parameter 'product_id' im Skript demo/flashPlayer/playVideo.php

Systeme: PHP
Gefährdungsstufe: 3 - mittel
Programm: iScripts VisualCaster

SQL-Injection über Parameter 'id' und Cross-Site-Scripting über Parameter 'show' im Skript projects.php

Systeme: PHP
Gefährdungsstufe: 3 - mittel
Programm: Scratcher

Schwachstelle beim Verarbeiten von CSS erlaubt DoS-Angriffe

Systeme: Multi, Mac OS X, Windows
Gefährdungsstufe: 2 - niedrig
Programm: Apple Safari

Schwachstelle beim Erzeugen von Thumbnails erlaubt Betrachten beliebiger Bilder

Systeme: PHP
Gefährdungsstufe: 2 - niedrig
Programm: deV!L`z Clanportal (DZCP)
Donnerstag, 29. April 2010

Mehrere Schwachstellen erlauben die Ausführung beliebigen Codes

aktualisiert
Systeme: Multi, Unix, Linux, Windows
Gefährdungsstufe: 5 - sehr hoch
Programm: Helix Mobile Server
« zurück      1 2 3 4 5 6 7 8 9 10      weiter »