CH azonosító
CH-5746Angol cím
Google App Engine SDK for Python Cross-Site Request Forgery VulnerabilityFelfedezés dátuma
2011.10.11.Súlyosság
AlacsonyÉrintett rendszerek
App Engine SDK for PythonÉrintett verziók
Google App Engine SDK for Python 1.x
Összefoglaló
A Google App Engine SDK for Python olyan sérülékenységét jelentették, amelyet a támadók kihasználva cross-site request forgery (CSRF/XSRF) támadásokat hajthatnak végre.
Leírás
Az alkalmazás lehetőséget ad a felhasználóknak arra, hogy HTTP kéréseken keresztül végezhessenek el bizonyos műveleteket anélkül, hogy a kérést érvényességi vizsgálat előzné meg. Ezt kihasználva például tetszőleges Python kód futtatható, amennyiben a felhasználó meglátogat egy speciálisan megszerkesztett weboldalt.
A sérülékenységet a 1.5.3 verzióban jelentették. Korábbi verziók is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 46357
CVE-2011-1364 - NVD CVE-2011-1364
Egyéb referencia: blog.watchfire.com