CH azonosító
CH-4346Angol cím
Adobe ColdFusion Multiple VulnerabilitiesFelfedezés dátuma
2011.02.08.Súlyosság
KözepesÉrintett rendszerek
AdobeColdFusion
Érintett verziók
Adobe ColdFusion 8.0, 8.0.1, 9.0, 9.0.1 (Mac, Unix, Windows)
Összefoglaló
Az Adobe ColdFusion többszörös sérülékenységét jelentették, amit kihasználva támadók bizalmas információkat szerezhetnek, cross-site scripting (XSS), HTTP fejléc befecskendezés vagy munkamenet rögzítés (session fixation) támadást indíthatnak.
Leírás
- A ColdFusion administrator console-nak átadott nem részletezett adatok nincsenek megfelelően ellenőrizve, mielőtt visszakerülnek a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében az érintett oldallal kapcsolatosan.
- Bizonyos nem részletezett adatok nincsenek megfelelően ellenőrizve, mielőtt visszakerülnek a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében az érintett oldallal kapcsolatosan.
- A ColdFusion administrator console egy nem részletezett hibáját kihasználva, bizalmas információkat lehet szerezni.
- A cfform címkékkel átadott adatok nincsenek megfelelően ellenőrizve, mielőtt visszakerülnek a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében az érintett oldallal kapcsolatosan.
- A munkamenet kezelés hibáját kihasználva el lehet téríteni egy másik felhasználó munkamenetét, ha azután jelentkezik be a rendszerbe, hogy meglátogat egy speciálisan elkészített linket.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Other (Egyéb)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.adobe.com
CVE-2011-0580 - NVD CVE-2011-0580
CVE-2011-0581 - NVD CVE-2011-0581
CVE-2011-0582 - NVD CVE-2011-0582
CVE-2011-0583 - NVD CVE-2011-0583
CVE-2011-0584 - NVD CVE-2011-0584
SECUNIA 43264