CH azonosító
CH-9556Angol cím
Apache OFBiz Cross-Site Scripting and Nested Expression Evaluation VulnerabilitiesFelfedezés dátuma
2013.07.21.Súlyosság
KözepesÉrintett rendszerek
Apache Software FoundationOFBiz
Érintett verziók
Apache OFBiz 10.x
Apache OFBiz 11.x
Apache OFBiz 12.x
Összefoglaló
Az Apache OFBiz két sérülékenysége vált ismertté, amelyeket kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat hajthatnak végre és megkerülhetnek bizonyos biztonsági korlátozásokat.
Leírás
- A Webtools “View Log” screen-nek átadott bizonyos nem részletezett bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználó számára visszaadásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatban.
- Egy beágyazott kifejezések kiértékelése közben jelentkező hiba kihasználható tetszőleges UEL (Unified Expression Language) függvény futtatására.
A sérülékenységek a 10.04.01 – 10.04.05, 11.04.01 – 11.04.02, és 12.04.01 verziókat érintik.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: archives.neohapsis.com
Gyártói referencia: archives.neohapsis.com
CVE-2013-2137 - NVD CVE-2013-2137
CVE-2013-2250 - NVD CVE-2013-2250
SECUNIA 53910