Érintett rendszerek
DotNetNukeDotNetNuke Corporation
Érintett verziók
DotNetNuke Corporation DotNetNuke 4.x, 5.x
Összefoglaló
Több sérülékenységet találtak a DotNetNuke-ban, amiket kihasználva, rosszindulatú támadók cross-site scripting (XSS) támadást indíthatnak, valamint bizalmas információkat szerezhetnek.
Leírás
Több sérülékenységet találtak a DotNetNuke-ban, amiket kihasználva, rosszindulatú támadók cross-site scripting (XSS) támadást indíthatnak, valamint bizalmas információkat szerezhetnek.
- A search paraméternek átadott adatok nincsenek megfelelően megtisztítva, mielőtt visszakerülnének a felhasználóhoz. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében, az érintett oldal vonatkozásában.
-
A telepítő varázsló egy gyengeségét kihasználva, rosszindulatú támadók megismerhetik a használt szoftver verzióját.
A sérülékenység a 4.0 és 5.1.4 közti kiadásokat érinti.
A sérülékenység a 4.8 és az 5.1.4 közti verziókat érinti.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Information disclosure (Információ/adat szivárgás)Input manipulation (Bemenet módosítás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.dotnetnuke.com
Gyártói referencia: www.dotnetnuke.com
SECUNIA 37480
CVE-2009-4109 - NVD CVE-2009-4109
CVE-2009-4110 - NVD CVE-2009-4110