Bugzilla sérülékenységek

CH azonosító

CH-8511

Angol cím

Bugzilla Information Disclosure Weakness and Cross-Site Scripting Vulnerability

Felfedezés dátuma

2013.02.19.

Súlyosság

Alacsony

Érintett rendszerek

Bugzilla
Mozilla

Érintett verziók

Bugzilla 2.x, 3.x, 4.x

Összefoglaló

A Bugzilla több sérülékenységét jelentették, amiket kihasználva a rosszindulatú felhasználók bizalmas információkat szerezhetnek, illetve a támadók cross-site scripting (XSS/CSS) támadásokat hajthatnak végre.

Leírás

  1. A show_bug.cgi részére az “id” paraméteren keresztül átadott bemeneti adat (amikor a “format” érvénytelen formátumra van állítva) nem megfelelően van megtisztítva a felhasználónak történő visszaadás előtt. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában. A sérülékenységet a 2.0 – 3.6.12, a 3.7.1 – 4.0.9 és a 4.1.1 – 4.2.4 közti verziókban jelentették.
  2. A debug módban történő lekérdezés futtatásával kapcsolatos hibát kihasználva meg lehet szerezni  például a termék neveket, ha léteznek bizonyos mezőértékek. A sérülékenységet a 2.0 – 3.6.12, a 3.7.1 – 4.0.9 közti verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
WinZip Mark-of-the-Web kezelési sérülékenysége – WinZip Mark-of-the-Web kezelési sérülékenysége
CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége
CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége
CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége
CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége
CVE-2024-10224 – Linux ScanDeps sérülékenysége
CVE-2024-11003 – Linux needrestart sérülékenysége
CVE-2024-48992 – Linux needrestart sérülékenysége
CVE-2024-48991 – Linux needrestart sérülékenysége
CVE-2024-48990 – Linux needrestart sérülékenysége
Tovább a sérülékenységekhez »