KAPhotoservice “page” cross-site scripting sérülékenység – Nemzeti Kibervédelmi Intézet

NBSZ-NKI website

KAPhotoservice “page” cross-site scripting sérülékenység

2008. augusztus 9. 22:00

CH azonosító

CH-1461

Felfedezés dátuma

2008.08.09.

Súlyosság

Érintett rendszerek

KAPhotoservice
N/A

Érintett verziók

N/A KAPhotoservice 7.x

Összefoglaló

A KAPhotoservice olyan sérülékenysége vált ismertté, melyet kihasználva rosszindulatú támadók cross-site scripting támadást hajthatnak végre.

Leírás

A KAPhotoservice olyan sérülékenysége vált ismertté, melyet kihasználva rosszindulatú támadók cross-site scripting támadást hajthatnak végre.

Az order.asp “page” paraméteréhez rendelt bemenet nincs megfelelően ellenőrizve mielőtt visszakerülne felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjében egy érintett oldallal kapcsolatosan.

A sikeres kihasználás feltétele, hogy a célfelhasználó érvényes azonosítókkal rendelkezzen.

Megoldás

Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekében

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.securityfocus.com
CVE-2008-3559 - NVD CVE-2008-3559
SECUNIA 31369

Legfrissebb sérülékenységek

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2025-31330 – SAP Landscape Transformation sebezhetősége

CVE-2025-27429 – SAP sebezhetősége

CVE-2025-21204 – Windows Process Activation Elevation of Privilege sebezhetősége

CVE-2025-32432 – Craft CMS RCE sebezhetősége

CVE-2025-1976 – Broadcom Brocade Fabric OS Code Injection sebezhetősége

CVE-2025-31324 – SAP NetWeaver sebezhetősége

CVE-2025-24206 – Apple AirPlay sebezhetősége

CVE-2025-24252 – Apple AirPlay sebezhetősége

CVE-2025-2492 – ASUS Router AiCloud sérülékenysége

Tovább a sérülékenységekhez »

Ugrás a tetejére