CH azonosító
CH-7649Angol cím
ViArt Shop Multiple Script Insertion VulnerabilitiesFelfedezés dátuma
2012.09.25.Súlyosság
AlacsonyÖsszefoglaló
A ViArt Shop több sérülékenységét jelentették, amiket kihasználva a rosszindulatú felhasználók script beszúrásos (script insertion) támadásokat indíthatnak.
Leírás
Több paraméteren és script-en keresztül átadott bemeneti adat nem megfelelően van megtisztítva felhasználás előtt. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
Az érintett script-ek és paraméterek:
- http://[host]/admin/admin_item_type.php?item_type_name
- http://[host]/admin/admin_supplier.php?supplier_name
- http://[host]/admin/admin_saved_type.php?type_name
- http://[host]/admin/admin_forum_topic.php?remote_address&topic
A sérülékenységek sikeres kihasználásához hozzáférés szükséges az adott részekhez.
A sérülékenységeket a 4.1 verzióban jelentették, de más kiadások is érintettek lehetnek.
Megoldás
IsmeretlenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 50716
Egyéb referencia: www.zeroscience.mk