Összefoglaló
Az ownCloud két sérülékenységét jelentették, amiket kihasználva a rosszindulatú felhasználók megkerülhetnek bizonyos biztonsági szabályokat, illetve a támadók cross-site scripting (XSS/CSS) támadásokat indíthatnak.
Leírás
- Az alkalmazás a MediaElement.js egy sérülékeny verzióját tartalmazza, amelyről az alábbi hivatkozáson található bővebb információ:
CERT-Hungary CH-8995 - Az alkalmazás nem ellenőrzi megfelelően a jogosultságokat a kontaktok letöltése közben. Ezt kihasználva más felhasználók kontaktjait is le lehet tölteni. A sérülékenység sikeres kihasználásához szükséges, hogy “Contacts” app engedélyezve legyen (alapértelmezett beállítás).
A sérülékenységeket az 5.0.5 és a 4.5.10 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Misconfiguration (Konfiguráció)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: owncloud.org
Gyártói referencia: owncloud.org
CVE-2013-1963 - NVD CVE-2013-1963
CVE-2013-1967 - NVD CVE-2013-1967
SECUNIA 53118
CERT-Hungary CH-8995