Összefoglaló
A dotCMS sérülékenysége vált ismertté, amelyet kihasználva a rosszindulatú felhasználók feltörhetik a sérülékeny rendszert.
Leírás
A sérülékenységet az XSLT és Velocity template-ek feldolgozása közben jelentkező nem részletezett hiba okozza, amelyet kihasználva tetszőleges Java kódot tartalmazó template-et fel lehet tölteni.
A sérülékenység sikeres kihasználása tetszőleges kód futtattását teszi lehetővé, de template készítő és feltöltő jogosultság szükséges hozzá.
A sérülékenység az 1.9.5.1 és 2.0.1 előtti verziókat érinti.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Unspecified (Nem részletezett)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: dotcms.com
Egyéb referencia: www.kb.cert.org
CVE-2012-1826 - NVD CVE-2012-1826
SECUNIA 49276
