Összefoglaló
A MySQL Enterprise Monitor egy olyan sérülékenységét jelentették, melyet a támadók kihasználhatnak cross-site kérés hamisítás támadások indítására.
Leírás
A MySQL Enterprise Monitor egy olyan sérülékenységét jelentették, melyet a támadók kihasználhatnak cross-site kérés hamisítás támadások indítására.
Az alkalmazás lehetőséget ad a felhasználóknak arra, hogy HTTP kéréseken keresztül végezhessenek el bizonyos műveleteket anélkül, hogy a kérést érvényességi vizsgálat előzné meg. Ezt kihasználva meghatározatlan műveleteket lehet végrehajtani, ha például egy bejelentkezett felhasználó meglátogat egy speciálisan elkészített weboldalt.
A sérülékenységet a 2.1.2. előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: dev.mysql.com
SECUNIA 40027