CH azonosító
CH-8336Angol cím
django CMS page_attribute Template Tag Script Insertion VulnerabilityFelfedezés dátuma
2013.01.24.Súlyosság
AlacsonyÖsszefoglaló
A django CMS olyan sérülékenységét jelentették, amelyet a rosszindulatú felhasználók kihasználva script beszúrásos (script insertion) támadásokat hajthatnak végre.
Leírás
A page_attribute template tag-en keresztül átadott bemeneti adatok nincsenek megfelelően megtisztítva, mielőtt visszaadásra kerülnének. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában a kártékony adatok megtekintésekor.
A sérülékenység sikeres kihasználásához szükséges legalább egy django CMS oldal objektum szerkesztésének jogosultsága.
A sérülékenységek a 2.3.5 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.django-cms.org
SECUNIA 51953