Összefoglaló
Két sérülékenységet találtak a HTML Purifier-ban, amelyet rosszindulatú támadók cross-site scripting (XSS) vagy script beszúrásos támadáshoz használhatnak fel.
Leírás
CSS-t tartalmazó adat átadása a program könyvtárnak, használat előtt nincs megfelelően ellenőrizve. Ezt kihasználva tetszőleges HTML és script kódot lehet beszúrni, amit aztán a felhasználó böngészőjében le lehet futtatni, az érintett weboldal vonatkozásában.
A hiba sikeres kihasználásához szükség van arra, hogy a kimenet kódolása Shift_JIS-re legyen állítva.
A sérülékenység a 2.1.5. és a 3.1.1. előtti verziókat érinti.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 30779
Gyártói referencia: htmlpurifier.org