CH azonosító
CH-7436Angol cím
CuteSoft Cute Editor for ASP.NET "_UploadID" Cross-Site Scripting VulnerabilityFelfedezés dátuma
2012.08.21.Súlyosság
AlacsonyÉrintett rendszerek
Cute Editor For ASP.NETCuteSoft Components Inc.
Érintett verziók
CuteSoft Cute Editor for ASP.NET 6.x
Összefoglaló
A CuteSoft Cute Editor for ASP.NET olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak cross-site scripting (XSS/CSS) támadások kezdeményezésére.
Leírás
A “_UploadID” paraméterrel az InsertDocument.aspx részére átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználó részére visszaküldésre kerülne. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
A sérülékenységet a 6.4 verzióban jelentették fel, de más kiadások is érintettek lehetnek.
Megoldás
IsmeretlenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 50313
CVE-2012-2985 - NVD CVE-2012-2985
Egyéb referencia: www.kb.cert.org