CH azonosító
CH-12886Angol cím
Bugzilla Cross Site Scripting / Information LeakFelfedezés dátuma
2015.12.22.Súlyosság
KözepesÉrintett rendszerek
BugzillaÉrintett verziók
Cross-Site Scripting: Bugzilla 2.6 - 4.2.15, 4.3.1 - 4.4.10, 4.5.1 - 5.0.1
Információ szivárgás: Bugzilla 2.17.1 - 4.2.15, 4.3.1 - 4.4.10, 4.5.1 - 5.0.1
Összefoglaló
A Bugzilla sérülékenységeit jelentették, amelyeket kihasználva a támadók cross-site scripting támadásokat hajthatnak végre és bizalmas információkhoz juthatnak.
Leírás
- Az egyik sérülékenység a függőségi gráf generálását érinti. Escape-elt HTML karaktereket írva a “bug summary”-be, HTML kódot lehet beszúrni a “map” fájlba, amit a CreateImagemap függvény generál.
- A másik sérülékenység abból fakad, hogy bizonyos böngészők a CSV fájlokat hibásan, érvényes JavaScript kódként elemzik, ami adatszivárgáshoz vezethet.
Megoldás
Javítva: 4.2.16, 4.4.11, 5.0.2Támadás típusa
Cross Site Scripting (XSS/CSS)Information disclosure (Információ/adat szivárgás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: packetstormsecurity.com
Gyártói referencia: bugzilla.mozilla.org
Gyártói referencia: bugzilla.mozilla.org
CVE-2015-8508 - NVD CVE-2015-8508
CVE-2015-8509 - NVD CVE-2015-8509