Apache OFBiz cross-site scripting és script beszúrás sérülékenységek

CH azonosító

CH-3059

Felfedezés dátuma

2010.04.17.

Súlyosság

Alacsony

Érintett rendszerek

Apache Software Foundation
OFBiz

Érintett verziók

Apache Software Foundation OFBiz

Összefoglaló

Az Apache OFBiz olyan sérülékenysége vált ismertté, amelyet kihasználva támadók cross-site scripting és felhasználók script beszúrás támadásokat kezdeményezhetnek.

Leírás

Az Apache OFBiz olyan sérülékenysége vált ismertté, amelyet kihasználva támadók cross-site scripting és felhasználók script beszúrás támadásokat kezdeményezhetnek.

  1. Az “Export Product Listing” szekció részére az “productStoreId” paraméteren keresztül, a “View Profile” szekció részére a “partyId” paraméteren keresztül, a “Show Portal Page” szekció részére a “start” paraméteren keresztül, a ControlServlettel egy nem létező fájl lekérésekor az URL-en keresztül, az ecommerce/control/ViewBlogArticle-nek a “contentID” paraméteren keresztül és a “Web Tools” szekció részére a “entityName” paraméteren keresztül a bemenet átadása nincs megfelelően megtisztítva mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
  2. A több paraméteren keresztül (pl.:”ecommerce/control/contactus” szekció részére a “subject” és “content” paramétereken keresztül) a bemenet átadása nincs megfelelően ellenőrizve mielőtt használnák. Ez kihasználható tetszőleges HTML és script kód futtatására az adminisztrátor böngészőjének munkamenetében az érintett oldallal kapcsolatosan.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-29944 – Mozilla Firefox ESR sérülékenysége
CVE-2024-29943 – Mozilla Firefox sérülékenysége
CVE-2024-28916 – Xbox Gaming Services sérülékenysége
CVE-2023-46808 – Ivanti Neurons for ITSM sérülékenysége
CVE-2024-2169 – UDP sérülékenysége
CVE-2023-41724 – Ivanti Standalone Sentry sérülékenysége
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2024-21407 – Windows Hyper-V sérülékenysége
CVE-2024-21390 – Microsoft Authenticator sérülékenysége
Tovább a sérülékenységekhez »