Összefoglaló
Az Abyss Web Server egy olyan sérülékenységét fedezték fel, amelyet kihasználva a támadók cross-site kérés hamisítás (cross-site request forgery) támadásokat hajthatnak végre.
Leírás
Az Abyss Web Server egy olyan sérülékenységét fedezték fel, amelyet kihasználva a támadók cross-site kérés hamisítás (cross-site request forgery) támadásokat hajthatnak végre.
Az alkalmazás lehetővé teszi, hogy a felhasználók HTTP kéréseken keresztül
bizonyos tevékenységeket folytassanak le, a kérések érvényességének ellenőrzése
nélkül. Ez kihasználható pl. az adminisztrátor jelszavának megváltoztatására, ha az adminisztrátorként bejelentkezett felhasználó meglátogat egy káros weboldalt.
A sérülékenységet a Windows-on futó X1 2.6 verzióban igazolták. Más verziók is
érintettek lehetnek.
Megoldás
Ne böngésszen megbízhatatlan oldalakon és ne kövessen ilyen linkeket sem, amíg
az alkalmazásba be van jelentkezve!
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: cross-site-scripting.blogspot.com
SECUNIA 39854