Érintett rendszerek
AgoraCartK-Factor Technologies
Érintett verziók
K-Factor Technologies AgoraCart 5.x
Összefoglaló
Az AgoraCart olyan sérülékenysége vált ismertté, melyet kihasználva rosszindulatú támadók cross-site kérés hamisításos támadásokat tudnak végrehajtani.
Leírás
Az AgoraCart olyan sérülékenysége vált ismertté, melyet kihasználva rosszindulatú támadók cross-site kérés hamisításos támadásokat tudnak végrehajtani.
Az alkalmazás lehetővé teszi a felhasználók számára, hogy elvégezzenek bizonyos műveleteket HTTP kérésekkel anélkül, hogy a kéréseket ellenőrizné. Ez kihasználható többek között az adminisztratív beállítások módosítására, például egy .htaccess fájl módosítására a protected/manager.cgi scripttel vagy a felhasználó jelszavának megváltoztatására, ha egy bejelentkezett adminisztrátor meglátogat egy kártékony weboldalt.
A sérülékenység az 5.2.005-ös verzióban található, de más verziók is érintettek lehetnek.
Megoldás
Kizárólag megbízható oldalakat látogasson és megbízható linkeket kövessen!
Támadás típusa
Input manipulation (Bemenet módosítás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: holisticinfosec.org
SECUNIA 36789