CH azonosító
CH-6784Angol cím
PHP-pastebin Paste Title Script Insertion VulnerabilityFelfedezés dátuma
2012.05.01.Súlyosság
KözepesÖsszefoglaló
A PHP-pastebin egy sérülékenységét jelentették, amit kihasználva a támadók script beszúrásos támadást (script insertion) hajthatnak végre.
Leírás
Az index.php részére a “title” POST paraméterén keresztül átadott bemeneti adatok a beillesztés készítésekor nincsenek megfelelően leellenőrizve felhasználás előtt. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
A sérülékenységet a 2.1-es verzióban találták, de egyéb kiadások is érintve lehetnek.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 49025
Egyéb referencia: packetstormsecurity.org
