Joomla! Google Website Optimizer komponens section names script beszúrási sérülékenysége

CH azonosító

CH-5695

Angol cím

Joomla! Google Website Optimizer Component Section Names Script Insertion Vulnerability

Felfedezés dátuma

2011.10.03.

Súlyosság

Alacsony

Érintett rendszerek

Google Website Optimizer component
Joomla

Érintett verziók

Google Website Optimizer 1.x (Joomla! komponens)

Összefoglaló

A Joomla! Google Website Optimizer komponensének olyan sérülékenységét jelentették, amelyet rosszindulatú felhasználók kihasználhatnak script beszúrásos (script insertion) támadásokra.

Leírás

A “pggwob” oldal tag-ekben a munkafolyamat nevekhez (section names) kapcsolódó bemeneti adatok nincsenek felhasználás előtt megfelelően ellenőrizve, a cikk létrehozásakor vagy módosításakor. Ez kihasználható tetszőleges HTML és script kód beszúrására, melyek lefuttatásra kerülnek a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan, a káros adatok megtekintésekor.

A sérülékenysélg sikeres kihasználásának feltétele a “Publisher” jogosultság.

A sérülékenységet az 1.3.0 verzióban jelentették. Korábbi verziók is érintettek lehetnek.

Megoldás

Frissítsen a legújabb verzióra