Összefoglaló
Több sérülékenységét jelentették Coursemill Learning Management System-nek.
Leírás
Több sérülékenységét jelentették Coursemill Learning Management System-nek, amelyet a rosszindulatú felhasználók bizonyos biztonsági szabályok megkerülésére, cross-site scripting, kérés hamisítás és script beszúrásos támadásokra használhatják.
1. Az alkalmazás nem megfelelően ellenőrzi a felhasználó kilétét a bejelentkezés során, ami kihasználható további jogosultságok szerzéséhez.
2. A “profil szerkesztése” funkció nem megfelelően ellenőrzi a felhasználói paramétereket, amit kihasználva hozzáférhető más felhasználó fiókja.
3. Bizonyos nem részletezett bemenet nincs megfelelően ellenőrizve, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjében, az érintett oldalon.
4. Bizonyos nem részletezett bemenet nincs megfelelően ellenőrizve, mielőtt megjelenik a felhasználónál. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjében.
Megoldás
Jelenleg, hivatalos megoldást nem publikáltak.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 54738
CVE-2013-3599 - NVD CVE-2013-3599
CVE-2013-3600 - NVD CVE-2013-3600
CVE-2013-3603 - NVD CVE-2013-3603
CVE-2013-3604 - NVD CVE-2013-3604
CVE-2013-3605 - NVD CVE-2013-3605