CH azonosító
CH-4120Angol cím
Joomla! Admin Tools Component Cross-Site Scripting and Request Forgery VulnerabilitiesFelfedezés dátuma
2010.12.19.Súlyosság
AlacsonyÉrintett rendszerek
Admin Tools componentJoomla
Érintett verziók
Admin Tools 1.x (component for Joomla!)
Összefoglaló
A Joomal! Admin Tools komponensének olyan sérülékenységeit jelentették, amelyeket a támadók kihasználva cross-site scripting (CSS/XSS) és request forgery (CSRF/XSRF) támadásokat hajthatnak végre.
Leírás
- Bizonyos a háttéralkalmazásnak átadott meghatározatlan bemeneti adat nincs megfelelően ellenőrizve, a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
- Az alkalmazás lehetővé teszi a felhasználóknak, hogy HTTP kéréseken keresztül végezzenek el bizonyos műveleteket anélkül, hogy bármilyen érvényességi ellenőrzést végezne. Ezt kihasználva meghatározatlan műveleteket lehet végrehajtani, egy bejelentkezett adminisztratív felhasználó esetén.
A sérülékenységeket az 1.1 verziónál korábbiakban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 42718
Egyéb referencia: www.akeebabackup.com