CH azonosító
CH-10785Angol cím
BarracudaDrive Multiple Cross-Site Scripting VulnerabilitiesFelfedezés dátuma
2014.03.20.Súlyosság
AlacsonyÖsszefoglaló
A BarracudaDrive több sérülékenysége vált ismertté, amelyeket kihasználva a támadók conduct cross-site scripting támadásokat hajthatnak végre.
Leírás
- Több scriptnek, több paraméteren keresztül átadott bemeneti érték nincs megfelelően megtisztítva, mielőtt a felhasználó számára visszaadásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatban.
Az érintett script-ek és paraméterek listája:
http://[host]/Forum/manage/ForumManager.lsp?sForumName&sDescription (POST)
http://[host]/Forum/manage/hangman.lsp?sHint&sWord (POST)
http://[host]/Forum/manage/hangman.lsp?nId
http://[host]/rtl/protected/admin/wizard/setuser.lsp?user (POST)
http://[host]/feedback.lsp?email&name (POST)
http://[host]/private/manage/PageManager.lsp?lname&url (POST)
http://[host]/rtl/protected/mail/manage/list.lsp?newname&description&firstname&lastname&id (POST) - Az URL-ben az /fs/ mögé helyezett bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználó számára visszaadásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatban.
A sérülékenységeket a 6.6 verzióban jelentették, de más kiadások is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: barracudadrive.com
Egyéb referencia: secpod.org
Egyéb referencia: secpod.org
CVE-2014-2526 - NVD CVE-2014-2526
SECUNIA 57451