CH azonosító
CH-5444Angol cím
AlstraSoft E-Friends "mode" Cross-Site Scripting VulnerabilityFelfedezés dátuma
2011.08.24.Súlyosság
AlacsonyÖsszefoglaló
Az AlstraSoft E-Friends olyan sérülékenységét jelentették, amelyet a támadók kihasználhatnak cross-site scripting (CSS/XSS) támadások indítására.
Leírás
Az index.php “mode” paraméterének átadott bemeneti adata nincs megfelelően ellenőrizve, mielőtt visszakerülne a felhasználó részére. Ez kihasználható tetszőleges HTML és script kód lefuttatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
A sérülékenységet az 5.00 verzióban jelentették. Más verziók is érintettek lehetnek.
Megoldás
Rosszindulatú karakterláncok szűrése proxy segítségévelTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)