Összefoglaló
A GIT egy sérülékenységét jelentették, amit kihasználva, támadók cross-site scripting (CSS/XSS) támadást hajthatnak végre.
Leírás
A gitweb/gitweb.perl fájlban lévő „gitweb” interfésznek az „f” és „fp” változók átadott paraméterek nem megfelelően vannak megtisztítva a gitweb/gitweb.perl-ben, a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
A sérülékenységet az 1.7.3.4 előtti verziókbabn jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: git.kernel.org
SECUNIA 42645
Gyártói referencia: git.kernel.org
Egyéb referencia: www.tigersecurity.it
CVE-2010-3906 - NVD CVE-2010-3906