Joomla! Google Website Optimizer komponens section names script beszúrási sérülékenysége

2011. október 5. 09:34

CH azonosító

CH-5695

Angol cím

Joomla! Google Website Optimizer Component Section Names Script Insertion Vulnerability

Felfedezés dátuma

2011.10.03.

Súlyosság

Alacsony

Érintett rendszerek

Google Website Optimizer component
Joomla

Érintett verziók

Google Website Optimizer 1.x (Joomla! komponens)

Összefoglaló

A Joomla! Google Website Optimizer komponensének olyan sérülékenységét jelentették, amelyet rosszindulatú felhasználók kihasználhatnak script beszúrásos (script insertion) támadásokra.

Leírás

A “pggwob” oldal tag-ekben a munkafolyamat nevekhez (section names) kapcsolódó bemeneti adatok nincsenek felhasználás előtt megfelelően ellenőrizve, a cikk létrehozásakor vagy módosításakor. Ez kihasználható tetszőleges HTML és script kód beszúrására, melyek lefuttatásra kerülnek a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan, a káros adatok megtekintésekor.

A sérülékenysélg sikeres kihasználásának feltétele a “Publisher” jogosultság.

A sérülékenységet az 1.3.0 verzióban jelentették. Korábbi verziók is érintettek lehetnek.

Legfrissebb sérülékenységek

CVE-2024-41110 – Docker Engine AuthZ pluginok sérülékenysége

CVE-2024-20401 – Cisco Secure Email Gateway sérülékenysége

CVE-2024-20419 – Cisco Smart Software Manager On-Prem sérülékenysége

CVE-2024-21687 – Atlassian Bamboo Data Center és Server sérülékenysége

CVE-2024-6385 – GitLab CE/EE sérülékenysége

CVE-2024-22280 – VMware Aria Automation sérülékenysége

CVE-2024-5217 – ServiceNow hiányos feketelista sérülékenysége

CVE-2024-5178 – ServiceNow hiányos feketelista sérülékenysége

CVE-2024-4879 – Service Now Inpud Validation sérülékenysége

CVE-2024-6151 – Citrix Virtual Apps and Desktops sérülékenysége

Tovább a sérülékenységekhez »

Joomla! Google Website Optimizer komponens section names script beszúrási sérülékenysége