CH azonosító
CH-6582Angol cím
Apache Wicket Cross-Site Scripting and File Disclosure VulnerabilitiesFelfedezés dátuma
2012.03.22.Súlyosság
AlacsonyÖsszefoglaló
Az Apache Wicket két sérülékenységét jelentették, amelyeket kihasználva a támadók cross-site scripting (XSS/CSS) támadást hajthatnak végre, valamint bizalmas információkat szerezhetnek.
Leírás
- A “wicket:pageMapName” paraméternek átadott bemeneti adatok nem megfelelően vannak megtisztítva, mielőtt visszakerülnének a felhasználóhoz. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
MEGJEGYZÉS: a sérülékenység csak az 1.4.x verziókat érinti. - Egyes bemeneti adatok adatok nincsenek megfelelően ellenőrizve, mielőtt fájlok beolvasásánál felhasználásra kerülnének. Ezt kihasználva, bizonyos webroot-ban lévő rejtett állományok tartalmát meg lehet jeleníteni könyvtárbejárásos (directory traversal) szekvenciák segítségével.
MEGJEGYZÉS: a sérülékenység az 1.4.x és 1.5.x is verziókat érinti.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: wicket.apache.org
Gyártói referencia: wicket.apache.org
CVE-2012-0047 - NVD CVE-2012-0047
CVE-2012-1089 - NVD CVE-2012-1089
SECUNIA 48499