Apache OFBiz cross-site scripting és beágyazott kifejezés kiértékelési sérülékenységek

CH azonosító

CH-9556

Angol cím

Apache OFBiz Cross-Site Scripting and Nested Expression Evaluation Vulnerabilities

Felfedezés dátuma

2013.07.21.

Súlyosság

Közepes

Érintett rendszerek

Apache Software Foundation
OFBiz

Érintett verziók

Apache OFBiz 10.x
Apache OFBiz 11.x
Apache OFBiz 12.x

Összefoglaló

Az Apache OFBiz két sérülékenysége vált ismertté, amelyeket kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat hajthatnak végre és megkerülhetnek bizonyos biztonsági korlátozásokat.

Leírás

  1. A Webtools “View Log” screen-nek átadott bizonyos nem részletezett bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználó számára visszaadásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatban.
  2. Egy beágyazott kifejezések kiértékelése közben jelentkező hiba kihasználható tetszőleges UEL (Unified Expression Language) függvény futtatására.

A sérülékenységek a 10.04.01 – 10.04.05, 11.04.01 – 11.04.02, és 12.04.01 verziókat érintik.

Megoldás

Frissítsen a legújabb verzióra