LabWiki sérülékenységek

2011. november 10. 10:12

CH azonosító

CH-5933

Angol cím

LabWiki Multiple Vulnerabilities

Felfedezés dátuma

2011.11.09.

Súlyosság

Magas

Érintett rendszerek

LabWiki
PHP Labware

Érintett verziók

LabWiki 1.x

Összefoglaló

A LabWiki olyan sérülékenységei váltak ismertté, amelyeket a támadók kihasználhatnak cross-site scripting (XSS/CSS) támadások kezdeményezésére és a sérülékeny rendszer feltörésére.

Leírás

Az index.php-ben a “from” paraméternek átadott bemenet nincs megfelelően ellenőrizve, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében, az érintett oldallal kapcsolatosan.
A recentchanges.php-ben a “page_no” paraméternek átadott bemenet nincs megfelelően ellenőrizve, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében, az érintett oldallal kapcsolatosan.
Az edit.php-ben az “userfile” POST paraméternek átadott bemenet nincs megfelelően ellenőrizve, mielőtt fájlok feltöltésére használnák. Ez kihasználható tetszőleges PHP fájlok feltöltésére, pl. “gif” kiterjesztéssel.

A sérülékenységet az 1.1. verzióban ismerték fel, de más verziók is érintettek lehetnek.

Legfrissebb sérülékenységek

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2025-2492 – ASUS Router AiCloud sérülékenysége

CVE-2025-42599 – Active! mail sérülékenysége

CVE-2025-31200 – Apple Memory Corruption sérülékenysége

CVE-2025-31201 – Apple Pointer Authentication sérülékenysége

CVE-2025-20236 – Cisco Webex App sebezhetősége

CVE-2017-5754 – Linux Kernel sebezhetősége

CVE-2014-0160 – OpenSSL Information Disclosure sebezhetősége

CVE-2025-23010 – SonicWall NetExtender Improper Link Resolution Before File Access ('Link Following') sebezhetősége

CVE-2025-23009 – SonicWall NetExtender Local Privilege Escalation sebezhetősége

Tovább a sérülékenységekhez »

LabWiki sérülékenységek