Apache OFBiz cross-site scripting és beágyazott kifejezés kiértékelési sérülékenységek

2013. július 22. 13:55

CH azonosító

CH-9556

Angol cím

Apache OFBiz Cross-Site Scripting and Nested Expression Evaluation Vulnerabilities

Felfedezés dátuma

2013.07.21.

Súlyosság

Közepes

Érintett rendszerek

Apache Software Foundation
OFBiz

Érintett verziók

Apache OFBiz 10.x
Apache OFBiz 11.x
Apache OFBiz 12.x

Összefoglaló

Az Apache OFBiz két sérülékenysége vált ismertté, amelyeket kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat hajthatnak végre és megkerülhetnek bizonyos biztonsági korlátozásokat.

Leírás

A Webtools “View Log” screen-nek átadott bizonyos nem részletezett bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználó számára visszaadásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatban.
Egy beágyazott kifejezések kiértékelése közben jelentkező hiba kihasználható tetszőleges UEL (Unified Expression Language) függvény futtatására.

A sérülékenységek a 10.04.01 – 10.04.05, 11.04.01 – 11.04.02, és 12.04.01 verziókat érintik.

Legfrissebb sérülékenységek

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2025-3928 – Commvault Web Server Unspecified sérülékenysége

CVE-2025-3248 – Langflow Missing Authentication sérülékenysége

CVE-2024-58136 – Yiiframework Yii Improper Protection of Alternate Path sérülékenysége

CVE-2025-34028 – Commvault Command Center Path Traversal sérülékenysége

CVE-2023-44221 – SonicWall SMA100 Appliances OS Command Injection sérülékenysége

CVE-2024-38475 – Apache HTTP Server Improper Escaping of Output sérülékenysége

CVE-2025-24132 – Apple AirPlay sebezhetősége

CVE-2025-31330 – SAP Landscape Transformation sebezhetősége

CVE-2025-27429 – SAP sebezhetősége

Tovább a sérülékenységekhez »

Apache OFBiz cross-site scripting és beágyazott kifejezés kiértékelési sérülékenységek