CH azonosító
CH-8436Angol cím
ezStats2 for Battlefield 3 Information Disclosure and Cross-Site Scripting VulnerabilitiesFelfedezés dátuma
2013.02.07.Súlyosság
AlacsonyÉrintett rendszerek
ezStatsezStats2 Serverviewer
ezStats2 for Battlefield
ezStats2 for Medal of Honor Warfighter
ezStats2 for Playstation Network
Érintett verziók
ezStats2 for Battlefield 3 0.x
ezStats2 for Medal of Honor Warfighter 1.x
ezStats2 for Playstation Network 1.x
ezStats2 Serverviewer 0.x
Összefoglaló
ezStats2 termékek olyan sérülékenységei váltak ismertté, amelyeket kihasználva a támadók bizonyos rendszerinformációkat szerezhetnek meg. valamint cross-site scripting (XSS/CSS) támadásokat tudnak végrehajtani.
Leírás
- Az alkalmazás korlátlan hozzáférést biztosít az admin/apitest.php-hez, ami kihasználható rendszerinformációk megszerzéséhez, többek között a PHP konfiguráció részleteiről.
A sérülékenység az alábbi verziókat érinti:- ezStats2 for Playstation Network 1.10.
- ezStats2 Serverviewer 0.62.
- ezStats2 for Medal of Honor Warfighter 1.0
- ezStats2 for Battlefield 0.91
- A “common” és “rankings” GET paraméterekkel az admin/stylsheets/style.php részére átadott bemeneti adatok nincsenek megfelelően megtisztítva a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében egy érintett oldallal kapcsolatosan.
A sérülékenység az ezStats2 for Battlefield 0.91 verzióját érinti, de egyéb verziók is érintettek lehetnek.
Megoldás
IsmeretlenTámadás típusa
Input manipulation (Bemenet módosítás)Misconfiguration (Konfiguráció)
Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 52097
SECUNIA 52104
Egyéb referencia: se3c.blogspot.dk
Egyéb referencia: se3c.blogspot.dk
Egyéb referencia: se3c.blogspot.dk
Egyéb referencia: se3c.blogspot.dk