A Claroline többszörös sérülékenysége

CH azonosító

CH-694

Felfedezés dátuma

2007.09.02.

Súlyosság

Közepes

Érintett rendszerek

Claroline
Claroline Consortium

Érintett verziók

Claroline Consortium Claroline 1.x

Összefoglaló

Távoli támadók számára XSS támadásra nyilik lehetőség, illetve
személyes adatok elszivárgása valósulhat meg.

Leírás

Távoli támadók számára XSS támadásra nyilik lehetőség, illetve
személyes adatok elszivárgása valósulhat meg.

  1. A bevitel áthaladva a “sort” és a “dir” paramétereken az admin/adminusers.php-ban,
    az “action” paraméteren az admin/advancedUserSearch.php-ban és a “view” paraméteren az admin/campusProblem.php-ban, nincs megfelelően ellenőrizve mielőtt a felhasználóhoz visszakerülne. Ez kihasználható tetszőleges HTML és szkript kód befecskendezésére a felhasználó böngészőjének munkamenetében az érintett oldallal összefüggésben.
  2. Az inc/lib/language.lib.php-ban a “language” paraméter
    szintén nincs kellőképpen kielemezve mielőtt fájlt von be.
    Ez kihasználható tetszőleges file bevonására helyi forrásból.

E sebezhetőségeket az 1.8.6. előtti verziókra jelentették.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-29944 – Mozilla Firefox ESR sérülékenysége
CVE-2024-29943 – Mozilla Firefox sérülékenysége
CVE-2024-28916 – Xbox Gaming Services sérülékenysége
CVE-2023-46808 – Ivanti Neurons for ITSM sérülékenysége
CVE-2024-2169 – UDP sérülékenysége
CVE-2023-41724 – Ivanti Standalone Sentry sérülékenysége
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2024-21407 – Windows Hyper-V sérülékenysége
CVE-2024-21390 – Microsoft Authenticator sérülékenysége
Tovább a sérülékenységekhez »