Vulnerability Bulletins |
Múltiples vulnerabilidades en Just For Fun Network Management System |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Obtener acceso |
Dificulty | Experto |
Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
Property | Value |
Affected manufacturer | GNU/Linux |
Affected software | Just For Fun Network Management System 0.8.3 |
Description |
|
Se han encontrado múltiples vulnerabilidades en Just For Fun Network Management System. Las vulnerabilidades son descritas a continuación. - CVE-2007-3189: Se ha encontrado una vulnerabilidad del tipo cross-site scripting en Just For Fun Network Management System 0.8.3. La vulnerabilidad reside en un error no especificado. Un atacante remoto podría inyectar código script web o HTML mediante el parámetro user. - CVE-2007-3190: Se han encontrado múltiples vulnerabilidades del tipo inyección SQL en Just For Fun Network Management System 0.8.3 en el archivo auth.php. La vulnerabilidad yace cuando se desactiva magic_quotes_gpc. Un atacante remoto podría ejecutar comandos SQL de forma arbitraria a través de los parámetros user y pass. - CVE-2007-3191: Se ha encontrado una vulnerabilidad en Just For Fun Network Management System 0.8.3. La vulnerabilidad reside en un error no especificado. Un atacante remoto podría obtener información sobre la configuración del sistema mediante una petición directa a admin/adm/test.php. |
|
Solution |
|
Actualización de software Debian (DSA 1374-1) Debian Linux 4.0 Source http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1.orig.tar.gz http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1.dsc http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1.diff.gz Architecture independent http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1_all.deb |
|
Standar resources |
|
Property | Value |
CVE |
CVE-2007-3189 CVE-2007-3190 CVE-2007-3191 |
BID | 24414 |
Other resources |
|
Debian Security Advisory (DSA 1374-1) http://lists.debian.org/debian-security-announce/debian-security-announce-2007/msg00140.html |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2007-09-12 |