CH azonosító
CH-7207Angol cím
DokuWiki "ns" Cross-Site Scripting VulnerabilityFelfedezés dátuma
2012.07.12.Súlyosság
AlacsonyÖsszefoglaló
A DokuWiki olyan sérülékenysége vált ismertté, amelyet kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat tudnak végrehajtani.
Leírás
Az “ns” POST paraméternek átadott bemeneti adat a lib/exe/ajax.php-ben (amikor a “call” beállítása “medialist” és a “do” beállítása “media”) nincsen megfelelően megtisztítva a “tpl_mediaFileList()” függvényen belül az inc/template.php-ben a felhasználónak történő visszaadás előtt. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
A sérülékenység a 2012-01-25a verzióban található, megelőző verziók is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: bugs.dokuwiki.org
SECUNIA 49196
CVE-2012-0283 - NVD CVE-2012-0283