MySQL Eventum sérülékenységek

CH azonosító

CH-4372

Angol cím

MySQL Eventum Multiple Cross-Site Scripting Vulnerabilities

Felfedezés dátuma

2011.02.13.

Súlyosság

Alacsony

Érintett rendszerek

Eventum
MySQL

Érintett verziók

MySQL Eventum 2.x

Összefoglaló

A MySQL Eventum több sérülékenységét jelentették, amelyet kihasználva a támadók cross-site scripting (XSS/CSS) támadást indíthatnak.

Leírás

  1. A forgot_password.php-nek átadott bemeneti adatok nem megfelelően vannak megtisztítva, mielőtt visszakerülnének a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
  2. A list.php-ban lévő “keywords”-nek átadott bemeneti adatok nem megfelelően vannak megtisztítva, mielőtt visszakerülnének a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
  3. A list.php-ban lévő “customer_id”, “status”, “priority”, “category”, “customer_email”, “reporter”, “release” és “pageRow” változóknak átadott bemeneti adatok nem megfelelően vannak megtisztítva, mielőtt visszakerülnének a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.

Megjegyzés: a 2. és 3. sérülékenységet kihasználva, akár script beszúrásos támadást is lehet indítani, ha egy bejelentkezett felhasználó megnyit egy speciálisan elkészített linket vagy weboldalt.

A sérülékenységeket a 2.3 verzióban jelentették. Más kiadások is érintve lehetnek.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2023-28303 – Windows képmetsző sérülékenysége
CVE-2023-1289 – ImageMagick sérülékenysége
CVE-2023-1050 – Koc Energy Web Report System sérülékenysége
CVE-2022-22512 – VARTA Storage Web-UI sérülékenysége
CVE-2023-25859 – Adobe Illustrator sérülékenysége
CVE-2023-25860 – Adobe Illustrator sérülékenysége
CVE-2023-25861 – Adobe Illustrator sérülékenysége
CVE-2023-26358 – Adobe Creative Cloud sérülékenysége
CVE-2023-26426 – Adobe Illustrator sérülékenysége
CVE-2023-27855 – Rockwell Automation's ThinManager ThinServer sérülékenysége
Tovább a sérülékenységekhez »