CH azonosító
CH-13163Angol cím
Apache OFBiz vulnerabilitiesFelfedezés dátuma
2016.04.11.Súlyosság
KözepesÖsszefoglaló
Az Apache OFBiz több sérülékenységet tartalmaz. Ezek jogosulatlan adathozzáférésre, adatmanipulációkra és jogosulatlan kódfuttatásra is módot adhatnak.
Leírás
Az egyik sebezhetőséget az okozza, hogy a szoftver esetenként nem ellenőrzi megfelelően a bemeneti paramétereket, aminek következtében tetszőleges kódokkal történő visszaélésekre adódhat mód, valamint a cookie-k megszerzésére is lehetőség nyílik.
A másik biztonsági rés pedig egy Java-val összefüggő rendellenesség, ami bizalmas adatok engedély nélküli olvasását segítheti elő.
Megoldás
A 12.04.06 vagy a 13.07.03 verziókra történő frissítés.
Támadás típusa
Cross Site Scripting (XSS/CSS)Information disclosure (Információ/adat szivárgás)
Manipulation of data
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: blogs.apache.org
Egyéb referencia: isbk.hu
CVE-2015-3268 - NVD CVE-2015-3268
CVE-2016-2170 - NVD CVE-2016-2170