CH azonosító
CH-9141Angol cím
Apache Virtual Computing Lab (VCL) Script Insertion VulnerabilitiesFelfedezés dátuma
2013.05.06.Súlyosság
AlacsonyÉrintett rendszerek
Apache Software FoundationÉrintett verziók
Apache Virtual Computing Lab (VCL) 2.x
Összefoglaló
A Apache Virtual Computing Lab (VCL) több sérülékenységét jelentették, amiket kihasználva a rosszindulatú felhasználók script beszúrásos (script insertion) támadásokat tudnak végrehajtani.
Leírás
- A web GUI részére átadott bizonyos nem részletezett bemeneti adat nem megfelelően van megtisztítva a felhasználás előtt. Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában a káros adat megtekintésekor. A sérülékenységet a 2.1, 2.2, 2.2.1, 2.3 és 2.3.1 verziókban jelentették.
- Az XMLRPC API részére átadott bizonyos nem részletezett bemeneti adat nem megfelelően van megtisztítva a felhasználás előtt. Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában a káros adat megtekintésekor. A sérülékenységet a 2.3.1 verzióban jelentették.
A sérülékenységek sikeres kihasználásához nodeAdmin, manageGroup, resourceGrant vagy userGrant jogosultság szükséges.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: mail-archives.apache.org<1658214.8zndv4WEi7@treebeard>
CVE-2013-0267 - NVD CVE-2013-0267
SECUNIA 53324