Apache OFBiz cross-site scripting és beágyazott kifejezés kiértékelési sérülékenységek

2013. július 22. 13:55

CH azonosító

CH-9556

Angol cím

Apache OFBiz Cross-Site Scripting and Nested Expression Evaluation Vulnerabilities

Felfedezés dátuma

2013.07.21.

Súlyosság

Közepes

Érintett rendszerek

Apache Software Foundation
OFBiz

Érintett verziók

Apache OFBiz 10.x
Apache OFBiz 11.x
Apache OFBiz 12.x

Összefoglaló

Az Apache OFBiz két sérülékenysége vált ismertté, amelyeket kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat hajthatnak végre és megkerülhetnek bizonyos biztonsági korlátozásokat.

Leírás

A Webtools “View Log” screen-nek átadott bizonyos nem részletezett bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználó számára visszaadásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatban.
Egy beágyazott kifejezések kiértékelése közben jelentkező hiba kihasználható tetszőleges UEL (Unified Expression Language) függvény futtatására.

A sérülékenységek a 10.04.01 – 10.04.05, 11.04.01 – 11.04.02, és 12.04.01 verziókat érintik.

Legfrissebb sérülékenységek

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2014-4078 – Microsoft Exchange szerver sérülékenység

CVE-2025-6170 – Red Hat sebezhetősége

CVE-2025-6021 – Red Hat sebezhetősége

CVE-2025-49796 – Red Hat sebezhetősége

CVE-2025-5777 – Citrix NetScaler sebezhetősége

CVE-2025-49825 – Teleport sebezhetősége

CVE-2025-4322 – WordPress sérülékenység

CVE-2025-37091 – HPE StoreOnce Remote Code Execution sebezhetősége

CVE-2025-37093 – HPE StoreOnce Authentication Bypass sebezhetősége

Tovább a sérülékenységekhez »

Apache OFBiz cross-site scripting és beágyazott kifejezés kiértékelési sérülékenységek