CH azonosító
CH-5083Angol cím
DokuWiki "rss" Script Insertion VulnerabilityFelfedezés dátuma
2011.06.20.Súlyosság
KözepesÖsszefoglaló
A DokuWiki olyan sérülékenysége vált ismertté, melyet kihasználva támadók script beszúrásos támadásokat indíthatnak.
Leírás
RSS link hozzáadásakor az “rss” címkével átadott bemenet nincs megfelelően megtisztítva megjelenítés előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében egy érintett oldallal kapcsolatosan a kártékony adatok megjelenítésekor.
A sikeres kihasználáshoz tartalom létrehozásához vagy módosításához szükséges jogosultságok kellenek.
A sérülékenységet a 2010-11-07a és 2011-05-25 verziókban jelentették, de korábbi verziók is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 45009
Egyéb referencia: www.freelists.org
Egyéb referencia: github.com
