CH azonosító
CH-7996Angol cím
Liferay Portal swfupload Cross-Site Scripting VulnerabilityFelfedezés dátuma
2012.11.22.Súlyosság
AlacsonyÖsszefoglaló
A Liferay Portal egy sérülékenységét jelentették, amit kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat indíthatnak.
Leírás
A sérülékenységet az okozza, hogy az alkalmazásba ágyazott swfupload.swf részére átadott “movieName” bemeneti adat nem megfelelően van megtisztítva, mielőtt az “ExternalInterface.call()” meghívásra kerülne. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
A sérülékenységet a 6.1.1 GA2 verzióban jelentették, de más kiadások is érintettek lehetnek.
Megoldás
IsmeretlenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 51387
SECUNIA 49651
Egyéb referencia: websecurity.com.ua