Bugzilla sérülékenységek

CH azonosító

CH-7935

Angol cím

Bugzilla Multiple Vulnerabilities

Felfedezés dátuma

2012.11.13.

Súlyosság

Közepes

Érintett rendszerek

Bugzilla
Mozilla

Érintett verziók

Bugzilla 3.x, 4.x

Összefoglaló

A Bugzilla több sérülékenységét jelentették, amiket kihasználva a támadók bizalmas információkat szerezhetnek, illetve cross-site scripting (XSS/CSS) és script beszúrásos (script insertion) támadásokat hajthatnak végre.

Leírás

  1. Egy hiba jelentkezik, amikor egy korlátozott termék vagy komponens állíthatja be a custom field-ek láthatóságát. Ezt kihasználva meg lehet szerezni a mező nevét a JavaScript forráskódon keresztül.
  2. A User.get() metódus különböző válaszokkal tér vissza, amit kihasználva meg lehet szerezni a már létező csoportok neveit.
  3. A tabuar report-ok létrehozásánál egyes nem részletezett bemeneti adatok nem megfelelően vannak megtisztítva felhasználás előtt. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
  4. A korlátozott hozzáférésű hibák kezelésekor ha egy csatolmány elavultnak lesz megjelölve, meg lehet szerezni a csatolmány leírását egy hibaüzeneten keresztül.
  5. A build/charts/assets/charts.swf, build/uploader/assets/uploader.swf és a build/swfstore/swfstore.swf részére átadott bemeneti adatok nem megfelelően vannak megtisztítva mielőtt a felhasználónak visszaadásra kerülnének. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.

Olvassa el a gyártó tájékoztatóját az érintett termékek listájáról!

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-11198 – Juniper Networks Security Director Policy Enforcer sérülékenysége
CVE-2025-59975 – Juniper Networks Junos Space sérülékenysége
CVE-2025-59964 – Juniper Networks Junos OS sérülékenysége
CVE-2025-60004 – Juniper Networks Junos OS and Junos OS Evolved sérülékenysége
CVE-2025-59968 – Juniper Networks Junos Space Security Director sérülékenysége
CVE-2010-3765 – Mozilla Multiple Products RCE sérülékenysége
CVE-2013-3918 – Microsoft Windows Out-of-Bounds Write sérülékenysége
CVE-2025-27915 – Synacor Zimbra Collaboration Suite (ZCS) Cross-site Scripting sérülékenysége
CVE-2010-3962 – Microsoft Internet Explorer Uninitialized Memory Corruption sérülékenysége
Tovább a sérülékenységekhez »