Apache HTTP Server cross-site scripting sérülékenységek

2013. február 26. 08:59

CH-8557

Apache HTTP Server Multiple Cross-Site Scripting Vulnerabilities

2013.02.25.

Apache 2.4.x

Az Apache HTTP Server több sérülékenységét jelentették, amiket kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat hajthatnak végre.

A mod_info, mod_ldap, mod_status, mod_imagemap és mod_proxy_ftp-ben lévő hostnevekhez és URI-khoz kapcsolódó egyes bemeneti adatok nem megfelelően vannak megtisztítva a felhasználónak történő visszaadás előtt. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
A mod_proxy_balancer bővítmény menedzser interfészének átadott egyes bemeneti adatok nem megfelelően vannak megtisztítva a felhasználónak történő visszaadás előtt. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.

A sérülékenységeket a 2.4.4 előtti verzióban jelentették.

CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége

CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség

CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége

CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység

CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége

CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége

CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége

CVE-2024-43451 – NTLM Hash Sebezhetőség

CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége

CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége