Összefoglaló
A web2py olyan sérülékenysége vált ismertté, amelyet kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat hajthatnak végre.
Leírás
Bizonyos nem részletezett bemeneti adat nem megfelelően van megtisztítva a applications/welcome/static/js/share.js-ben a felhasználónak történő visszaadás előtt. Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
A sérülékenységet a 2.3.1 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.web2py.com
Egyéb referencia: jvn.jp
Egyéb referencia: jvndb.jvn.jp
CVE-2013-2311 - NVD CVE-2013-2311
SECUNIA 53465