Összefoglaló
A FlexCMS olyan sérülékenysége vált ismertté, melyet kihasználva a támadók cross-site kérés hamisításos (XSRF/CSRF) támadásokat tudnak végrehajtani.
Leírás
Az alkalmazás lehetővé teszi a felhasználók számára bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ez kihasználható többek között az adminisztrátor jelszavának módosítására, ha egy bejelentkezett felhasználót sikerül rávenni egy speciálisan erre a célra elkészített weboldal meglátogatására.
A sérülékenységet a 3.2.1-es verzióban jelentették, egyéb verziók is érintettek lehetnek.
Megoldás
Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se, amíg az alkalmazásba be van jelentkezve.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 48451
Egyéb referencia: ivanobinetti.blogspot.com