Összefoglaló
A Jobbex JobSite több sérülékenységét is jelentették, melyeket a támadók
kihasználhatnak cross-site scripting és SQL befecskendezéses támadások
lefolytatására.
Leírás
A Jobbex JobSite több sérülékenységét is jelentették, melyeket a támadók
kihasználhatnak cross-site scripting és SQL befecskendezéses támadások
lefolytatására.
- A search_result.cfm “opt” paraméterének átadott bemenet nincs megfelelően
ellenőrizve, mielőtt visszakerülne a felhasználóhoz.
Ezt kihasználva tetszőleges HTML és szkript kód futtatható a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan. - A search_result.cfm “jobcountryid” és “jobstateid” paramétereinek átadott
bemenet nincs megfelelően ellenőrizve, mielőtt azokat az SQL lekérdezésekben
felhasználnák. Ezt kihasználva megváltoztathatóak az SQL lekérdezések
tetszőleges kód befecskendezésével.
Megjegyzés: A script felfedhet bizonyos bizalmas információkat is (pl. a teljes útvonalat),
amikor megjeleníti a hibaüzenetet.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2008-3341 - NVD CVE-2008-3341
CVE-2008-3340 - NVD CVE-2008-3340
SECUNIA 31089
CVE-2008-3339 - NVD CVE-2008-3339