DataTables TableTools bővítmény cross-site scripting sérülékenységek

2013. február 28. 07:11

CH azonosító

CH-8580

Angol cím

DataTables TableTools Plugin Two "id" Cross-Site Scripting Vulnerabilities

Felfedezés dátuma

2013.02.26.

Súlyosság

Alacsony

Érintett rendszerek

DataTables
TableTools Plugin

Érintett verziók

DataTables TableTools Plugin 2.x

Összefoglaló

A DataTables TableTools bővítmény sérülékenysége vált ismertté, amelyet kihasználva a támadók cross-site scripting (CSS/XSS) támadásokat hajthatnak végre.

Leírás

A media/swf/copy_csv_xls.swf és a media/swf/copy_csv_xls_pdf.swf részére az “id” paraméteren keresztül átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználó számára visszaadásra kerülne. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.

A sérülékenységet az 2.1.4 verzióban jelentették, de más kiadások is érintettek lehetnek.

Legfrissebb sérülékenységek

CVE-2024-41110 – Docker Engine AuthZ pluginok sérülékenysége

CVE-2024-20401 – Cisco Secure Email Gateway sérülékenysége

CVE-2024-20419 – Cisco Smart Software Manager On-Prem sérülékenysége

CVE-2024-21687 – Atlassian Bamboo Data Center és Server sérülékenysége

CVE-2024-6385 – GitLab CE/EE sérülékenysége

CVE-2024-22280 – VMware Aria Automation sérülékenysége

CVE-2024-5217 – ServiceNow hiányos feketelista sérülékenysége

CVE-2024-5178 – ServiceNow hiányos feketelista sérülékenysége

CVE-2024-4879 – Service Now Inpud Validation sérülékenysége

CVE-2024-6151 – Citrix Virtual Apps and Desktops sérülékenysége

Tovább a sérülékenységekhez »

DataTables TableTools bővítmény cross-site scripting sérülékenységek