MySQL Eventum sérülékenységek

CH azonosító

CH-4372

Angol cím

MySQL Eventum Multiple Cross-Site Scripting Vulnerabilities

Felfedezés dátuma

2011.02.13.

Súlyosság

Alacsony

Érintett rendszerek

Eventum
MySQL

Érintett verziók

MySQL Eventum 2.x

Összefoglaló

A MySQL Eventum több sérülékenységét jelentették, amelyet kihasználva a támadók cross-site scripting (XSS/CSS) támadást indíthatnak.

Leírás

  1. A forgot_password.php-nek átadott bemeneti adatok nem megfelelően vannak megtisztítva, mielőtt visszakerülnének a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
  2. A list.php-ban lévő “keywords”-nek átadott bemeneti adatok nem megfelelően vannak megtisztítva, mielőtt visszakerülnének a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
  3. A list.php-ban lévő “customer_id”, “status”, “priority”, “category”, “customer_email”, “reporter”, “release” és “pageRow” változóknak átadott bemeneti adatok nem megfelelően vannak megtisztítva, mielőtt visszakerülnének a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.

Megjegyzés: a 2. és 3. sérülékenységet kihasználva, akár script beszúrásos támadást is lehet indítani, ha egy bejelentkezett felhasználó megnyit egy speciálisan elkészített linket vagy weboldalt.

A sérülékenységeket a 2.3 verzióban jelentették. Más kiadások is érintve lehetnek.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-29944 – Mozilla Firefox ESR sérülékenysége
CVE-2024-29943 – Mozilla Firefox sérülékenysége
CVE-2024-28916 – Xbox Gaming Services sérülékenysége
CVE-2023-46808 – Ivanti Neurons for ITSM sérülékenysége
CVE-2024-2169 – UDP sérülékenysége
CVE-2023-41724 – Ivanti Standalone Sentry sérülékenysége
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2024-21407 – Windows Hyper-V sérülékenysége
CVE-2024-21390 – Microsoft Authenticator sérülékenysége
Tovább a sérülékenységekhez »