Bugzilla sérülékenységek

CH azonosító

CH-7935

Angol cím

Bugzilla Multiple Vulnerabilities

Felfedezés dátuma

2012.11.13.

Súlyosság

Közepes

Érintett rendszerek

Bugzilla
Mozilla

Érintett verziók

Bugzilla 3.x, 4.x

Összefoglaló

A Bugzilla több sérülékenységét jelentették, amiket kihasználva a támadók bizalmas információkat szerezhetnek, illetve cross-site scripting (XSS/CSS) és script beszúrásos (script insertion) támadásokat hajthatnak végre.

Leírás

  1. Egy hiba jelentkezik, amikor egy korlátozott termék vagy komponens állíthatja be a custom field-ek láthatóságát. Ezt kihasználva meg lehet szerezni a mező nevét a JavaScript forráskódon keresztül.
  2. A User.get() metódus különböző válaszokkal tér vissza, amit kihasználva meg lehet szerezni a már létező csoportok neveit.
  3. A tabuar report-ok létrehozásánál egyes nem részletezett bemeneti adatok nem megfelelően vannak megtisztítva felhasználás előtt. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
  4. A korlátozott hozzáférésű hibák kezelésekor ha egy csatolmány elavultnak lesz megjelölve, meg lehet szerezni a csatolmány leírását egy hibaüzeneten keresztül.
  5. A build/charts/assets/charts.swf, build/uploader/assets/uploader.swf és a build/swfstore/swfstore.swf részére átadott bemeneti adatok nem megfelelően vannak megtisztítva mielőtt a felhasználónak visszaadásra kerülnének. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.

Olvassa el a gyártó tájékoztatóját az érintett termékek listájáról!

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-9968 – ASUS Armoury Crate sérülékenysége
CVE-2025-9337 – ASUS Armoury Crate sérülékenysége
CVE-2025-9336 – ASUS Armoury Crate sérülékenysége
CVE-2025-47827 – IGEL OS Use of a Key Past its Expiration Date sérülékenysége
CVE-2025-24990 – Microsoft Windows Untrusted Pointer Dereference sérülékenysége
CVE-2025-59230 – Microsoft Windows Improper Access Control sérülékenysége
CVE-2025-6264 – Rapid7 Velociraptor Incorrect Default Permissions sérülékenysége
CVE-2016-7836 – SKYSEA Client View Improper Authentication sérülékenysége
CVE-2025-7330 – Rockwell NAT CSRF sérülékenysége
Tovább a sérülékenységekhez »