CH azonosító
CH-4354Angol cím
Apache Continuum Cross-Site Scripting and Request Forgery VulnerabilitiesFelfedezés dátuma
2011.02.10.Súlyosság
KözepesÖsszefoglaló
Az Apache Continuum olyan sérülékenységei váltak ismertté, melyeket kihasználva támadók cross-site scripting és kérés hamisításos támadásokat tudnak végrehajtani.
Leírás
- Bizonyos meghatározatlan bemenet nincs megfelelően ellenőrizve, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében az érintett oldallal kapcsolatosan.
- Az alkalmazás lehetővé teszi a felhasználók számára bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné a kérések érvényességét. Ez kihasználható pl. az adminisztrátor hozzáférési adatainak megváltoztatására, ha egy bejelentkezett adminisztrátor meglátogat egy speciálisan erre a célra elkészített weboldalt.
A sérülékenységek az 1.3.7 előtti verziókban találhatók.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: mail-archi&
Gyártói referencia: mail-archives&
SECUNIA 43261
CVE-2010-3449 - NVD CVE-2010-3449
CVE-2011-0533 - NVD CVE-2011-0533