CH azonosító
CH-4393Angol cím
ProjectForge "Maximum Hours" Cross-Site Scripting VulnerabilityFelfedezés dátuma
2011.02.16.Súlyosság
AlacsonyÖsszefoglaló
A ProjectForge olyan sérülékenységét fedezték fel, amelyet a támadók kihasználhatnak cross-site scripting (XSS/CSS) támadások folytatására.
Leírás
Új feladat hozzáadásakor a “Maximum Hours” mezőnek átadott bemeneti adat nincs megfelelően ellenőrizve, mielőtt a felhasználónak visszaadnák azt az érvényesítési hiba üzenetben. Ez kihasználható tetszőleges HTML és script kód lefuttatására, mialatt a felhasználó az érintett oldalon böngészik.
A sikeres kihasználás feltétele, hogy a támadó kitalálja a helyes “wicket:interface” paramétert.
A sérülékenységet a 3.5.2 verzióban igazolták. Korábbi verziók is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.projectforge.org
SECUNIA 43289
