qooxdoo cross-site scripting és fájlfelfedés sérülékenységek

2011. április 6. 11:24

CH azonosító

CH-4661

Angol cím

qooxdoo Cross-Site Scripting and File Disclosure Vulnerabilities

Felfedezés dátuma

2011.04.05.

Súlyosság

Közepes

Érintett rendszerek

1&1 Internet
qooxdoo

Érintett verziók

1&1 Internet qooxdoo 1.x

Összefoglaló

A qooxdoo olyan sérülékenységei váltak ismertté, amelyeket a támadók kihasználhatnak cross-site scripting támadások okozására és bizalmas információk felfedésére.

Leírás

A framework/source/resource/qx/test/jsonp_primitive.php-ben a “callback” paraméternek átadott bemenet nincs megfelelően ellenőrizve, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében, az érintett oldallal kapcsolatosan.
A framework/source/resource/qx/test/part/delay.php-ben a “file” paraméternek átadott bemenet nincs megfelelően ellenőrizve, mielőtt fájlok megjelenítéséhez használnák. Ez könyvtárbejárásos támadásokkal kihasználható tetszőleges fájlok tartalmának felfedésére.

A sérülékenységeket az 1.3. verzióban ismerték fel, de más verziók is érintettek lehetnek.

qooxdoo cross-site scripting és fájlfelfedés sérülékenységek

qooxdoo cross-site scripting és fájlfelfedés sérülékenységek

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Összefoglaló

Leírás

Megoldás

Támadás típusa

Hatás

Szükséges hozzáférés

Hivatkozások

Figyelmeztetések

Legfrissebb sérülékenységek

qooxdoo cross-site scripting és fájlfelfedés sérülékenységek

qooxdoo cross-site scripting és fájlfelfedés sérülékenységek

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Összefoglaló

Leírás

Megoldás

Támadás típusa

Hatás

Szükséges hozzáférés

Hivatkozások

Figyelmeztetések

Legfrissebb sérülékenységek

Pin It on Pinterest