SWS 検索スクリプトが管理者パスワードを暴露
アイ・ディフェンス・ジャパンからの情報によると、StepWeb.comの StepWebSearch (SWS) エンジンスクリプトは、パブリックアクセスが可能なファイルに管理者パスワードを保存する。そのため、攻撃者が悪意のあるURLをフラットファイルデータベースに挿入して、ウェブ閲
国際
海外情報
挿入して、クロスサイトスクリプティング(CSS) 攻撃を仕掛けることができる。また、管理者は、このページを利用して、全ての検索済みアイテムを保存したログファイルを確認することもできる。
※この情報はアイ・ディフェンス・ジャパン
( http://www.idefense.co.jp/ )より提供いただいております。
アイディフェンス社の iAlert サービスについて
http://shop.vagabond.co.jp/p-alt01.shtml
情報の内容は以下の時点におけるものです
【15:07 GMT、04、13、2002】
《ScanNetSecurity》