CH azonosító
CH-4969Angol cím
Apache Archiva Multiple VulnerabilitiesFelfedezés dátuma
2011.05.29.Súlyosság
KözepesÉrintett rendszerek
Apache ArchivaApache Software Foundation
Érintett verziók
Apache Archiva 1.3 - 1.3.4
Összefoglaló
Az Apache Archiva olyan sérülékenységeit jelentették, amelyeket kihasználva a támadók cross-site scripting (XSS/CSS), cross-site request forgery (CSRF) és script beszúrásos támadásokat hajthatnak végre.
Leírás
- Bizonyos meghatározatlan bemenet nincs megfelelően ellenőrizve, mielőtt visszaadásra kerülne. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében, az érintett oldal vonatkozásában.
- Bizonyos meghatározatlan bemenet nincs megfelelően ellenőrizve, mielőtt megjelenítésre kerülne. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében, az érintett oldal vonatkozásában, a kártékony adatok megtekintésekor.
- Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ezt kihasználva meghatározatlan műveleteket lehet végrehajtani, ha egy bejelentkezett rendszergazda megtekinti a kártékony weboldalt.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 44693
CVE-2011-1026 - NVD CVE-2011-1026
CVE-2011-1077 - NVD CVE-2011-1077
Gyártói referencia: archiva.apache.org
Gyártói referencia: archiva.apache.org