CH azonosító
CH-5327Angol cím
XpressEngine Multiple Script Insertion VulnerabilitiesFelfedezés dátuma
2011.08.07.Súlyosság
AlacsonyÖsszefoglaló
Az XpressEngine több sérülékenysége vált ismertté, amelyeket kihasználva rosszindulatú felhasználók script beszúrásos (script insertion) támadásokat hajthatnak végre.
Leírás
A “nick_name”, a “homepage”, és a “blog” paramétereken keresztül az index.php-nak, a member űrlapon keresztül átadott bemeneti adatai nincsenek megfelelően megtisztítva, mielőtt azok felhasználásra kerülnének. Ez kihasználható tetszőleges HTML és script kód futtatására, a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan a kártékony adat megtekintése közben.
A sérülékenységek az 1.4.5.8 verzióban váltak ismertté. Más verziók is érintettek lehetenek.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
