CH azonosító
CH-10571Angol cím
Open Web Analytics Cross-Site Scripting and Request Forgery Two VulnerabilitiesFelfedezés dátuma
2014.02.13.Súlyosság
AlacsonyÖsszefoglaló
Az Open Web Analytics két sérülékenységét jelentették, amelyeket kihasználva a támadók cross-site scripting és request forgery támadásokat hajthatnak végre.
Leírás
- A login oldalnak az “owa_user_id” paraméteren keresztül átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználó számára visszaadásra kerülne. Ez kihasználható teteszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatban.
- Az alkalmazás lehetővé teszi, hogy a felhasználók HTTP kéréseken keresztül végezzenek el bizonyos műveleteket megfelelő jogosultság ellenőrzés nélkül. Ez kihasználható pl. a termék eltávolítására (uninstall), bizonyos adatok törlésére, azokhoz való hozzáférési jog megszerzésére, vagy az alkalmazás menedzsmenttel kapcsolatos egyéb műveletek elvégzésére, amikor egy bejelentkezett felhasználó egy kártékony weboldalt tekint meg. A sérülékenység sikeres kihasználásához az áldozat OWA felhasználó nevére szükség van.
A sérülékenységeket az 1.5.4 és 1.5.5 verziókban jelezték, de korábbi kiadások is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Hijacking (Visszaélés)Input manipulation (Bemenet módosítás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.openwebanalytics.com
Egyéb referencia: www.secureworks.com
Egyéb referencia: www.secureworks.com
CVE-2014-1456 - NVD CVE-2014-1456
CVE-2014-1457 - NVD CVE-2014-1457
SECUNIA 56885