Összefoglaló
Egy sérülékenységet fedeztek fel az IPplan-ben, amit kihasználva támadók cross-site scripting (XSS) és cross-site request forgery (XSRF) támadást indíthatnak.
Leírás
Egy sérülékenységet fedeztek fel az IPplan-ben, amit kihasználva támadók cross-site scripting (XSS) és cross-site request forgery (XSRF) támadást indíthatnak.
- Az admin/usermanager “grp” változójának átadott paraméter nincs megfelelően megtisztítva mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
- Az alkalmazás lehetővé teszi a felhasználóknak, hogy bizonyos műveleteket HTTP kéréseken keresztül hajtsanak végre anélkül, hogy bármilyen azonosítást végezne. Ezt kihasználva meg lehet változtatni a jelszót, új felhasználót lehet létrehozni vagy törölni egy meglévőt, olyan esetben, ha egy adminisztrátor felhasználó meglátogat egy rosszindulatú weboldalt.
A sérülékenységet a 4.91a verzióban találták, de egyéb kiadások is érintve lehetnek.
Megoldás
Módosítsa a forráskódot a bevitel megfelelő ellenőrzésének érdekében! Ne nyisson meg nem megbízható weboldalakat és nem megbízható linkeket, ha be van jelentkezve az alkalmazásba.
Támadás típusa
Hijacking (Visszaélés)Input manipulation (Bemenet módosítás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 34985
Egyéb referencia: holisticinfosec.org
CVE-2009-1732 - NVD CVE-2009-1732
CVE-2009-1733 - NVD CVE-2009-1733