DotNetNuke Editor script beszúrásos sérülékenység

CH azonosító

CH-5896

Angol cím

DotNetNuke Editor Script Insertion Vulnerability

Felfedezés dátuma

2011.11.02.

Súlyosság

Alacsony

Érintett rendszerek

DotNetNuke
DotNetNuke Corporation

Érintett verziók

DotNetNuke 5.x
DotNetNuke 6.x

Összefoglaló

A DotNetNuke sérülékenysége vált ismertté, amelyet kihasználva a rosszindulatú felhasználók script beszúrásos (script insertion) támadásokat hajthatnak végre.

Leírás

Az alkalmazás nem megfelelően ellenőrzi a szerkesztő (editor) részére átadott bizonyos bemeneti adatokat a felhasználás előtt. Ez kihasználható bizonyos HTML és script kód beszúrására, ami a felhasználó böngészőjének munkamenetében kerül futtatásra az érintett oldallal kapcsolatban a káros tartalom megtekintése közben.

A sérülékenység kihasználása hozzáférést és szerkesztő jogosultságot igényel egy HTML modulhoz az 5.5.0 előtti verziókban és a letiltott üzenetküldő komponenssel rendelkező installációkban.

A sérülékenység a 5.6.4 és 6.1.0 előtti verziókat érinti.

Megjegyzés: A regisztrációs oldalon egy jelszó mezőt módosítottak annak érdekében, hogy ne töltődjön ki automatikusan például a böngésző által korábban feljegyzett értékkel.

Megoldás

Frissítsen az 5.6.4 vagy 6.1.0 verzióra.