Apache Archiva sérülékenységek

CH azonosító

CH-4969

Angol cím

Apache Archiva Multiple Vulnerabilities

Felfedezés dátuma

2011.05.29.

Súlyosság

Közepes

Érintett rendszerek

Apache Archiva
Apache Software Foundation

Érintett verziók

Apache Archiva 1.3 - 1.3.4

Összefoglaló

Az Apache Archiva olyan sérülékenységeit jelentették, amelyeket kihasználva a támadók cross-site scripting (XSS/CSS), cross-site request forgery (CSRF) és script beszúrásos támadásokat hajthatnak végre.

Leírás

  1. Bizonyos meghatározatlan bemenet nincs megfelelően ellenőrizve, mielőtt visszaadásra kerülne. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében, az érintett oldal vonatkozásában.
  2. Bizonyos meghatározatlan bemenet nincs megfelelően ellenőrizve, mielőtt megjelenítésre kerülne. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében, az érintett oldal vonatkozásában, a kártékony adatok megtekintésekor.
  3. Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ezt kihasználva meghatározatlan műveleteket lehet végrehajtani, ha egy bejelentkezett rendszergazda megtekinti a kártékony weboldalt.

Megoldás

Frissítsen a legújabb verzióra