A Claroline többszörös sérülékenysége

CH azonosító

CH-694

Felfedezés dátuma

2007.09.02.

Súlyosság

Közepes

Érintett rendszerek

Claroline
Claroline Consortium

Érintett verziók

Claroline Consortium Claroline 1.x

Összefoglaló

Távoli támadók számára XSS támadásra nyilik lehetőség, illetve
személyes adatok elszivárgása valósulhat meg.

Leírás

Távoli támadók számára XSS támadásra nyilik lehetőség, illetve
személyes adatok elszivárgása valósulhat meg.

  1. A bevitel áthaladva a “sort” és a “dir” paramétereken az admin/adminusers.php-ban,
    az “action” paraméteren az admin/advancedUserSearch.php-ban és a “view” paraméteren az admin/campusProblem.php-ban, nincs megfelelően ellenőrizve mielőtt a felhasználóhoz visszakerülne. Ez kihasználható tetszőleges HTML és szkript kód befecskendezésére a felhasználó böngészőjének munkamenetében az érintett oldallal összefüggésben.
  2. Az inc/lib/language.lib.php-ban a “language” paraméter
    szintén nincs kellőképpen kielemezve mielőtt fájlt von be.
    Ez kihasználható tetszőleges file bevonására helyi forrásból.

E sebezhetőségeket az 1.8.6. előtti verziókra jelentették.

Megoldás

Frissítsen a legújabb verzióra

Hivatkozások

Gyártói referencia: www.claroline.net
Gyártói referencia: www.claroline.net
Gyártói referencia: www.claroline.net


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-9968 – ASUS Armoury Crate sérülékenysége
CVE-2025-9337 – ASUS Armoury Crate sérülékenysége
CVE-2025-9336 – ASUS Armoury Crate sérülékenysége
CVE-2025-47827 – IGEL OS Use of a Key Past its Expiration Date sérülékenysége
CVE-2025-24990 – Microsoft Windows Untrusted Pointer Dereference sérülékenysége
CVE-2025-59230 – Microsoft Windows Improper Access Control sérülékenysége
CVE-2025-6264 – Rapid7 Velociraptor Incorrect Default Permissions sérülékenysége
CVE-2016-7836 – SKYSEA Client View Improper Authentication sérülékenysége
CVE-2025-7330 – Rockwell NAT CSRF sérülékenysége
Tovább a sérülékenységekhez »