Összefoglaló
Az Askiaweb olyan sérülékenységei váltak ismertté, amelyet a támadók kihasználhatnak cross-site scripting (XSS/CSS) támadások kezdeményezésére.
Leírás
A “Number” és “UpdatePage” paraméterekkel a WebProd/cgi-bin/AskiaExt.dll részére átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználó részére visszaküldésre kerülne. Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
Megoldás
IsmeretlenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 52660
US-CERT 406596
CVE-2013-0124 - NVD CVE-2013-0124