ezStats2 termékek sérülékenységei

CH azonosító

CH-8436

Angol cím

ezStats2 for Battlefield 3 Information Disclosure and Cross-Site Scripting Vulnerabilities

Felfedezés dátuma

2013.02.07.

Súlyosság

Alacsony

Érintett rendszerek

ezStats
ezStats2 Serverviewer
ezStats2 for Battlefield
ezStats2 for Medal of Honor Warfighter
ezStats2 for Playstation Network

Érintett verziók

ezStats2 for Battlefield 3 0.x
ezStats2 for Medal of Honor Warfighter 1.x
ezStats2 for Playstation Network 1.x
ezStats2 Serverviewer 0.x

Összefoglaló

ezStats2 termékek olyan sérülékenységei váltak ismertté, amelyeket kihasználva a támadók bizonyos rendszerinformációkat szerezhetnek meg. valamint cross-site scripting (XSS/CSS) támadásokat tudnak végrehajtani.

Leírás

  1. Az alkalmazás korlátlan hozzáférést biztosít az admin/apitest.php-hez, ami kihasználható rendszerinformációk megszerzéséhez, többek között a PHP konfiguráció részleteiről.
    A sérülékenység az alábbi verziókat érinti:
    • ezStats2 for Playstation Network 1.10.
    • ezStats2 Serverviewer 0.62.
    • ezStats2 for Medal of Honor Warfighter 1.0
    • ezStats2 for Battlefield 0.91
  2. A “common” és “rankings” GET paraméterekkel az admin/stylsheets/style.php részére átadott bemeneti adatok nincsenek megfelelően megtisztítva a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében egy érintett oldallal kapcsolatosan.
    A sérülékenység az ezStats2 for Battlefield 0.91 verzióját érinti, de egyéb verziók is érintettek lehetnek.

Megoldás

Ismeretlen