Összefoglaló
A MODx két sérülékenységét jelentették, melyeket kihasználva a támadók cross-site scripting támadást okozhatnak és hozzáférhetnek a felhasználó rendszeréhez.
Leírás
- Az egyik sérülékenységet a phpThumb() hibája okozza.
- A kezelőfelület “a” nevű GET paramétere a felhasználóhoz való visszatérés előtt nincs megfelelően ellenőrizve. Ezt kihasználva tetszőleges HTML és Javascript kód futtatható a felhasználó munkamenetében.
A sérülékenység a 2.2.11. verzió előtti kiadásokat érinti.
Megoldás
Frissítsen a legújabb verzióraMegoldás
Frissítsen a 2.2.11. verzióra.
Támadás típusa
Cross Site Scripting (XSS/CSS)System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 57038
CVE-2010-1598 - NVD CVE-2010-1598
CVE-2014-2080 - NVD CVE-2014-2080
Gyártói referencia: modx.com
