CH azonosító
CH-8798Angol cím
IP.Board Administrative Login GET and POST Parameter Names Script Insertion VulnerabilityFelfedezés dátuma
2013.03.26.Súlyosság
KözepesÖsszefoglaló
Az IP.Board egy sérülékenységét jelentették, amit kihasználva a támadók script beszúrásos (script insertion) támadásokat tudnak végrehajtani.
Leírás
A GET és POST paraméterekkel az admin/index.php részére átadott bemeneti adatok (amikor “app” “core”, “module” “login” és a “do” “login-complete” értékre van beállítva) nem megfelelően vannak megtisztítva felhasználás előtt. Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában, amikor a káros tartalom megtekintésre kerül.
A sérülékenység minden 3.1.x, 3.2.x, 3.3.x és 3.4.x verziót érint.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: community.invisionpower.com
SECUNIA 52788