CH azonosító
CH-8436Angol cím
ezStats2 for Battlefield 3 Information Disclosure and Cross-Site Scripting VulnerabilitiesFelfedezés dátuma
2013.02.07.Súlyosság
AlacsonyÉrintett rendszerek
ezStatsezStats2 Serverviewer
ezStats2 for Battlefield
ezStats2 for Medal of Honor Warfighter
ezStats2 for Playstation Network
Érintett verziók
ezStats2 for Battlefield 3 0.x
ezStats2 for Medal of Honor Warfighter 1.x
ezStats2 for Playstation Network 1.x
ezStats2 Serverviewer 0.x
Összefoglaló
ezStats2 termékek olyan sérülékenységei váltak ismertté, amelyeket kihasználva a támadók bizonyos rendszerinformációkat szerezhetnek meg. valamint cross-site scripting (XSS/CSS) támadásokat tudnak végrehajtani.
Leírás
- Az alkalmazás korlátlan hozzáférést biztosít az admin/apitest.php-hez, ami kihasználható rendszerinformációk megszerzéséhez, többek között a PHP konfiguráció részleteiről.
A sérülékenység az alábbi verziókat érinti:- ezStats2 for Playstation Network 1.10.
- ezStats2 Serverviewer 0.62.
- ezStats2 for Medal of Honor Warfighter 1.0
- ezStats2 for Battlefield 0.91
- A “common” és “rankings” GET paraméterekkel az admin/stylsheets/style.php részére átadott bemeneti adatok nincsenek megfelelően megtisztítva a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében egy érintett oldallal kapcsolatosan.
A sérülékenység az ezStats2 for Battlefield 0.91 verzióját érinti, de egyéb verziók is érintettek lehetnek.
Megoldás
IsmeretlenTámadás típusa
Input manipulation (Bemenet módosítás)Misconfiguration (Konfiguráció)
Security bypass (Biztonsági szabályok megkerülése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 52097
SECUNIA 52104
Egyéb referencia: se3c.blogspot.dk
Egyéb referencia: se3c.blogspot.dk
Egyéb referencia: se3c.blogspot.dk
Egyéb referencia: se3c.blogspot.dk