CH azonosító
CH-5896Angol cím
DotNetNuke Editor Script Insertion VulnerabilityFelfedezés dátuma
2011.11.02.Súlyosság
AlacsonyÖsszefoglaló
A DotNetNuke sérülékenysége vált ismertté, amelyet kihasználva a rosszindulatú felhasználók script beszúrásos (script insertion) támadásokat hajthatnak végre.
Leírás
Az alkalmazás nem megfelelően ellenőrzi a szerkesztő (editor) részére átadott bizonyos bemeneti adatokat a felhasználás előtt. Ez kihasználható bizonyos HTML és script kód beszúrására, ami a felhasználó böngészőjének munkamenetében kerül futtatásra az érintett oldallal kapcsolatban a káros tartalom megtekintése közben.
A sérülékenység kihasználása hozzáférést és szerkesztő jogosultságot igényel egy HTML modulhoz az 5.5.0 előtti verziókban és a letiltott üzenetküldő komponenssel rendelkező installációkban.
A sérülékenység a 5.6.4 és 6.1.0 előtti verziókat érinti.
Megjegyzés: A regisztrációs oldalon egy jelszó mezőt módosítottak annak érdekében, hogy ne töltődjön ki automatikusan például a böngésző által korábban feljegyzett értékkel.
Megoldás
Frissítsen az 5.6.4 vagy 6.1.0 verzióra.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.dotnetnuke.com
Gyártói referencia: www.dotnetnuke.com
SECUNIA 46714
