Apache OFBiz cross-site scripting és beágyazott kifejezés kiértékelési sérülékenységek

CH azonosító

CH-9556

Angol cím

Apache OFBiz Cross-Site Scripting and Nested Expression Evaluation Vulnerabilities

Felfedezés dátuma

2013.07.21.

Súlyosság

Közepes

Érintett rendszerek

Apache Software Foundation
OFBiz

Érintett verziók

Apache OFBiz 10.x
Apache OFBiz 11.x
Apache OFBiz 12.x

Összefoglaló

Az Apache OFBiz két sérülékenysége vált ismertté, amelyeket kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat hajthatnak végre és megkerülhetnek bizonyos biztonsági korlátozásokat.

Leírás

  1. A Webtools “View Log” screen-nek átadott bizonyos nem részletezett bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználó számára visszaadásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatban.
  2. Egy beágyazott kifejezések kiértékelése közben jelentkező hiba kihasználható tetszőleges UEL (Unified Expression Language) függvény futtatására.

A sérülékenységek a 10.04.01 – 10.04.05, 11.04.01 – 11.04.02, és 12.04.01 verziókat érintik.

Megoldás

Frissítsen a legújabb verzióra

Hivatkozások

Gyártói referencia: archives.neohapsis.com
Gyártói referencia: archives.neohapsis.com
CVE-2013-2137 - NVD CVE-2013-2137
CVE-2013-2250 - NVD CVE-2013-2250
SECUNIA 53910


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-9968 – ASUS Armoury Crate sérülékenysége
CVE-2025-9337 – ASUS Armoury Crate sérülékenysége
CVE-2025-9336 – ASUS Armoury Crate sérülékenysége
CVE-2025-47827 – IGEL OS Use of a Key Past its Expiration Date sérülékenysége
CVE-2025-24990 – Microsoft Windows Untrusted Pointer Dereference sérülékenysége
CVE-2025-59230 – Microsoft Windows Improper Access Control sérülékenysége
CVE-2025-6264 – Rapid7 Velociraptor Incorrect Default Permissions sérülékenysége
CVE-2016-7836 – SKYSEA Client View Improper Authentication sérülékenysége
CVE-2025-7330 – Rockwell NAT CSRF sérülékenysége
Tovább a sérülékenységekhez »