Apache OFBiz cross-site scripting és script beszúrás sérülékenységek

CH azonosító

CH-3059

Felfedezés dátuma

2010.04.17.

Súlyosság

Alacsony

Érintett rendszerek

Apache Software Foundation
OFBiz

Érintett verziók

Apache Software Foundation OFBiz

Összefoglaló

Az Apache OFBiz olyan sérülékenysége vált ismertté, amelyet kihasználva támadók cross-site scripting és felhasználók script beszúrás támadásokat kezdeményezhetnek.

Leírás

Az Apache OFBiz olyan sérülékenysége vált ismertté, amelyet kihasználva támadók cross-site scripting és felhasználók script beszúrás támadásokat kezdeményezhetnek.

  1. Az “Export Product Listing” szekció részére az “productStoreId” paraméteren keresztül, a “View Profile” szekció részére a “partyId” paraméteren keresztül, a “Show Portal Page” szekció részére a “start” paraméteren keresztül, a ControlServlettel egy nem létező fájl lekérésekor az URL-en keresztül, az ecommerce/control/ViewBlogArticle-nek a “contentID” paraméteren keresztül és a “Web Tools” szekció részére a “entityName” paraméteren keresztül a bemenet átadása nincs megfelelően megtisztítva mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
  2. A több paraméteren keresztül (pl.:”ecommerce/control/contactus” szekció részére a “subject” és “content” paramétereken keresztül) a bemenet átadása nincs megfelelően ellenőrizve mielőtt használnák. Ez kihasználható tetszőleges HTML és script kód futtatására az adminisztrátor böngészőjének munkamenetében az érintett oldallal kapcsolatosan.

Megoldás

Frissítsen a legújabb verzióra