CH azonosító
CH-6036Angol cím
JBoss AS Administration Console Cross-Site Scripting and Request ForgeryFelfedezés dátuma
2011.12.01.Súlyosság
AlacsonyÖsszefoglaló
A JBoss AS két sérülékenysége vált ismertté, amelyeket kihasználva a támadók cross-site scripting (XSS/CSS) és request forgery (XSRF/CSRF) támadásokat hajthatnak végre.
Leírás
- Az üzenet központnak az adminisztrációs konzolon keresztül átadott bizonyos bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználó számára visszaadásra kerülne. Ezt kihasználva tetszőleges HTML és script kód futtatható a felhasználó böngésző munkamenetében az érintett oldallal kapcsolatban.
- Az adminisztrációs konzol lehetővé teszi, hogy a felhasználók bizonyos műveleteket HTTP kéréseken keresztül hajtsanak végre bárminemű jogosultság ellenőrzés nélkül. Ez kihasználható bizonyos nem részletezett műveletek végrehajtására, ha egy bejelentkezett adminisztrátor megtekint egy káros weboldalt.
A sérülékenységek a 7.02. verzióban jelentették. Más verziók is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: bugzilla.redhat.com
Egyéb referencia: bugzilla.redhat.com
Gyártói referencia: issues.jboss.org
CVE-2011-3606 - NVD CVE-2011-3606
CVE-2011-3609 - NVD CVE-2011-3609
SECUNIA 47004