Összefoglaló
A ClientExec sérülékenységei váltak ismertté, amelyeket kihasználva a támadók cross-site scripting (CSS/XSS) és SQL befecskendezéses támadásokat hajthatnak végre.
Leírás
- Az admin panelhez kapcsolódó bizonyos bemeneti adatok nincsenek megfelelően megtisztítva, mielőtt a felhasználó számára visszaadásra kerülnének. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatban.
- A plugin / snapin rendszerhez kapcsolódó bizonyos bemeneti adat nincs megfelelően megtisztítva, mielőtt SQL lekérdezésben felhasználásra kerülne. Ez kihasználható SQL lekérdezések manipulálására tetszőleges SQL kód befecskenddezésével.
A sérülékenységek a 4.6.8 előtti 4.6.x verziókat érintik.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)