Érintett rendszerek
Absolute News Manager .NETXigla
Érintett verziók
Xigla Absolute News Manager .NET 5.x
Összefoglaló
Néhány sérülékenységet jelentettek az Absolute News Manager .NET programban, amit kihasználva rosszindulatú támadók cross-site scripting és SQL-befecskendezéses támadást hajthatnak végre, vagy bizalmas adatokat szivárogtathatnak ki.
Leírás
Néhány sérülékenységet jelentettek az Absolute News Manager .NET programban, amit kihasználva rosszindulatú támadók cross-site scripting és SQL-befecskendezéses támadást hajthatnak végre, vagy bizalmas adatokat szivárogtathatnak ki.
- A bemeneti “template” paraméter a pages/default.aspx -ben nem kellően van ellenőrizve mielőtt az SQL query használja.
Ezt kihasználva kártékony fáljok tölthetők le a könyvtáron keresztül. - A bemeneti “z”, “pz”, “ord”, és “sort” paraméterek az xlaabsolutenm.aspx-ben nem kellően vannak ellenőrizve mielőtt az SQL query használja.
Ezt kihasználva kártékony SQL kód fecskendezhető be. - A bemeneti “rmore” paraméter az xlaabsolutenm.aspx-ben és a “template” paraméter a pages/default.aspx-ben nem kellően van ellenőrizva mielőtt a felhasználóhoz visszakerül.
Ezt kihasználva kártékony HTML és script kód futtatható a felhasználó böngészőjében egy érintett oldallal kapcsolatban.
A sérülékenységeket az 5.1-es verzióban jelentették.
Korábbi verziók is érintettek lehetnek.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 27923
Gyártói referencia: www.xigla.com