CH azonosító
CH-6311Angol cím
Ocean Data Systems Dream Report Two VulnerabilitiesFelfedezés dátuma
2012.01.24.Súlyosság
MagasÉrintett rendszerek
Dream ReportOcean Data Systems
Érintett verziók
Ocean Data Systems Dream Report 3.x
Összefoglaló
Az Ocean Data Systems Dream Report két sérülékenysége vált ismertté, amelyet kihasználva a támadók cross-site scripting (CSS/XSS) támadásokat hajthatnak végre és feltörhetik a felhasználó rendszerét.
Leírás
- Bizonyos nem részletezett bemeneti adat nincs megfelelően megtisztítva, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében, az érintett oldallal kapcsolatosan.
- Bizonyos fájlok betöltésekor jelentkező nem részletezett hiba kihasználható a memória tartalmának felülírására egy speciálisan kialakított fájl segítségével.
A sérülékenység sikeres kihasználása tetszőleges kód futtatását teszi lehetővé, ha a felhasználó megnyit egy káros fájlt.
A sérülékenységek a 4.0 előtti verziókat érintik.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.us-cert.gov
CVE-2011-4038 - NVD CVE-2011-4038
CVE-2011-4039 - NVD CVE-2011-4039
SECUNIA 47742