Érintett rendszerek
Apache RollerApache Software Foundation
N/A
Roller Weblogger
Érintett verziók
Apache Software Foundation Apache Roller 3.x, 4.x
N/A Roller Weblogger 2.x
Összefoglaló
Az Apache Roller sérülékenységét fedezték fel, melyet kihasználva támadók cross-site scripting támadásokat indíthatnak.
Leírás
Az Apache Roller sérülékenységét fedezték fel, melyet kihasználva támadók cross-site scripting támadásokat indíthatnak.
A “q” paraméternek keresés végrehajtásakor átadott érték nincs megfelelően megtisztítva, mielőtt visszakerülne a felhasználóhoz. Ez tetszőleges HTML és script kód végrehajtását teszi lehetővé a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
A sérülékenységet a 2.3, 3.0 és a 3.1 verziókban jelentették illetve a 4.0 verzióban ismerték el. Más verziók is érintettek lehetnek.
Megoldás
Javítva az SVN-ben.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: issues.apache.org
SECUNIA 31523