Összefoglaló
Az EC-CUBE olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak cross-site kérés hamisítás p { margin-bottom: 0.21cm; }(CSRF/XSRF – cross-site request forgery) támadások kezdeményezésére.
Leírás
Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ez kihasználható pl. egy adminisztratív felhasználó kitiltására, amennyiben meglátogat egy rosszindulatú weboldalt.
A sérülékenységet a 2.4.4. verzióban igazolták, de más verziók is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 44487
CVE-2011-1325 - NVD CVE-2011-1325
Egyéb referencia: jvn.jp
Egyéb referencia: jvndb.jvn.jp