Apache OFBiz cross-site scripting és script beszúrás sérülékenységek

CH azonosító

CH-3059

Felfedezés dátuma

2010.04.17.

Súlyosság

Alacsony

Érintett rendszerek

Apache Software Foundation
OFBiz

Érintett verziók

Apache Software Foundation OFBiz

Összefoglaló

Az Apache OFBiz olyan sérülékenysége vált ismertté, amelyet kihasználva támadók cross-site scripting és felhasználók script beszúrás támadásokat kezdeményezhetnek.

Leírás

Az Apache OFBiz olyan sérülékenysége vált ismertté, amelyet kihasználva támadók cross-site scripting és felhasználók script beszúrás támadásokat kezdeményezhetnek.

  1. Az “Export Product Listing” szekció részére az “productStoreId” paraméteren keresztül, a “View Profile” szekció részére a “partyId” paraméteren keresztül, a “Show Portal Page” szekció részére a “start” paraméteren keresztül, a ControlServlettel egy nem létező fájl lekérésekor az URL-en keresztül, az ecommerce/control/ViewBlogArticle-nek a “contentID” paraméteren keresztül és a “Web Tools” szekció részére a “entityName” paraméteren keresztül a bemenet átadása nincs megfelelően megtisztítva mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
  2. A több paraméteren keresztül (pl.:”ecommerce/control/contactus” szekció részére a “subject” és “content” paramétereken keresztül) a bemenet átadása nincs megfelelően ellenőrizve mielőtt használnák. Ez kihasználható tetszőleges HTML és script kód futtatására az adminisztrátor böngészőjének munkamenetében az érintett oldallal kapcsolatosan.

Megoldás

Frissítsen a legújabb verzióra

Hivatkozások

Egyéb referencia: www.bonsai-sec.com
CVE-2010-0432 - NVD CVE-2010-0432
SECUNIA 39460


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-9968 – ASUS Armoury Crate sérülékenysége
CVE-2025-9337 – ASUS Armoury Crate sérülékenysége
CVE-2025-9336 – ASUS Armoury Crate sérülékenysége
CVE-2025-47827 – IGEL OS Use of a Key Past its Expiration Date sérülékenysége
CVE-2025-24990 – Microsoft Windows Untrusted Pointer Dereference sérülékenysége
CVE-2025-59230 – Microsoft Windows Improper Access Control sérülékenysége
CVE-2025-6264 – Rapid7 Velociraptor Incorrect Default Permissions sérülékenysége
CVE-2016-7836 – SKYSEA Client View Improper Authentication sérülékenysége
CVE-2025-7330 – Rockwell NAT CSRF sérülékenysége
Tovább a sérülékenységekhez »