Apache Archiva sebezhetőségek

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Apache Archiva 1.3.x

Összefoglaló

Az Apache Archiva két közepes kockázati besorolású sérülékenysége vált ismertté, melyeket kihasználva a támadó Cross Site Scripting (XSS) támadást hajthat végre, vagy érzékeny adatokat szerezhet meg. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.

Leírás

A biztonsági hibák speciálisan szerkesztett HTML oldalakkal, illetve URL-ekkel válhatnak kihasználhatóvá. Amennyiben egy támadónak emelt szintű jogosultságokkal rendelkező felhasználót sikerül célkeresztbe állítania, akkor ő is emelt szintű jogok birtokában hajthat végre olyan műveleteket, amelyekre másként nem lenne lehetősége.

Az érintett függvények:

• addProxyConnector_commit.action
• addRepository_commit.action
• editRepository_commit.action
• addLegacyArtifactPath_commit.action
• saveAppearance.action
• upload_submit.action

Megoldás

Támadás típusa

Szükséges hozzáférés

Hivatkozások

Egyéb referencia: isbk.hu
Gyártói referencia: archiva.apache.org
CVE-2016-4469 - NVD CVE-2016-4469
CVE-2016-5005 - NVD CVE-2016-5005