CH azonosító
CH-9699Angol cím
Twilight CMS Cross-Site Scripting and Arbitrary File Disclosure VulnerabilitiesFelfedezés dátuma
2013.08.26.Súlyosság
KözepesÖsszefoglaló
High-Tech Bridge felfedezett két sérülékenységét Twilight CMS-nél.
Leírás
High-Tech Bridge felfedezett két sérülékenységét Twilight CMS-nél, amelyet kihasználva a támadók cross-site scripting támadásokat indíthatnak a felhasználó ellen és nyilvánosságra hozhatnak bizonyos érzékeny adatokat.
1. Az adott csatolt az URL / gallery / nincs megfelelően ellenőrizve, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjében az érintett oldalon.
2. Az átadott bemeneti URL-t az alkalmazás nem megfelelően hitelesíti mielőtt beolvassa a fájlokat. Ezt kihasználva nyilvánosságra hozható bizonyos fájlok tartala.
A sérülékenységeket a 5.17 orosz és angol nyelvű verziókban jelezték.
Más verziók is érintettek lehetnek.
Megoldás: nincs hivatalos megoldás jelenleg. Frissítsen a orosz verzióról a 5.24 verzióra.
Megoldás
IsmeretlenMegoldás
Nincs hivatalos megoldás jelenleg. Frissítsen a orosz verzióról a 5.24 verzióra.