CH azonosító
CH-13452Angol cím
Apache Archiva vulnerabilityFelfedezés dátuma
2016.07.20.Súlyosság
KözepesÖsszefoglaló
Az Apache Archiva két közepes kockázati besorolású sérülékenysége vált ismertté, melyeket kihasználva a támadó Cross Site Scripting (XSS) támadást hajthat végre, vagy érzékeny adatokat szerezhet meg. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.
Leírás
A biztonsági hibák speciálisan szerkesztett HTML oldalakkal, illetve URL-ekkel válhatnak kihasználhatóvá. Amennyiben egy támadónak emelt szintű jogosultságokkal rendelkező felhasználót sikerül célkeresztbe állítania, akkor ő is emelt szintű jogok birtokában hajthat végre olyan műveleteket, amelyekre másként nem lenne lehetősége.
Az érintett függvények:
- addProxyConnector_commit.action
- addRepository_commit.action
- editRepository_commit.action
- addLegacyArtifactPath_commit.action
- saveAppearance.action
- upload_submit.action
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Cross Site Scripting (XSS/CSS)Information disclosure (Információ/adat szivárgás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Gyártói referencia: archiva.apache.org
CVE-2016-4469 - NVD CVE-2016-4469
CVE-2016-5005 - NVD CVE-2016-5005