Összefoglaló
A FuseTalk egy olyan sérülékenységét jelentették, amelyet kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat indíthatnak.
Leírás
A usersearchresults.cfm “keyword” paraméterének átadott bemenet ellenőrzése nem megfelelő a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására mialatt a felhasználó az érintett oldalon böngészik.
A sérülékenységet a FuseTalk Enterprise Edition 3.2-ben (ColdFusion) jelentették. Más verziók is érintettek lehetnek.
Megoldás
Proxy használatával szűrje a káros karaktereket és karakter sorozatokat.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.thetestmanager.com
SECUNIA 40850