Összefoglaló
Egy biztonsági rést és néhány sérülékenységet jelenetettek az An image galleryben, amelyet kihasználva támadók rendszerinformációkhoz juthatnak és cross-site scripting (XSS) támadásokat hajthatnak végre.
Leírás
Egy biztonsági rést és néhány sérülékenységet jelenetettek az An image galleryben, amelyet kihasználva támadók rendszerinformációkhoz juthatnak és cross-site scripting (XSS) támadásokat hajthatnak végre.
- A „path” paraméterhez tartozó adatbevitel a navigation.php-ban nincs megfelelően ellenőrizve, mielőtt a mappák tartalmát megjeleníti. Ez kihasználható a könytárak és fájlok helyének meghatározására.
- Az index.php és a main.php „path” paraméteréhez, és a main.php „show” paraméteréhez tartozó bemenet nincs megfelelően megtisztítva mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: milw0rm.com
SECUNIA 36680