CH azonosító
CH-7097Angol cím
Apache Roller Cross Site Request Forgery VulnerabilityFelfedezés dátuma
2012.06.25.Súlyosság
KözepesÉrintett rendszerek
Apache RollerApache Software Foundation
Érintett verziók
Apache Software Foundation Apache Roller 3.1, 4.0, 5.0
Összefoglaló
Az Apache Roller egy sérülékenységét jelentették, amelyet kihasználva a támadók cross-site request-forgery (XSRF/CSRF) támadást indíthatnak.
Leírás
Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. A sérülékenységet kihasználva a támadók számára lehetővé válik bizonyos adminisztratív lépések végrehajtása, azonban szükséges, hogy egy bejelentkezett adminisztrátor meglátogasson egy káros weboldalt.
A sérülékenységet a 3.1, 4.0.0 és 5.0 verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2012-2380 - NVD CVE-2012-2380
Egyéb referencia: www.securityfocus.com