CH azonosító
CH-9345Angol cím
Novell ZENworks Configuration Management Control Center Multiple VulnerabilitiesFelfedezés dátuma
2013.06.03.Súlyosság
AlacsonyÉrintett rendszerek
NovellZENworks Configuration Management
Érintett verziók
Novell ZENworks Configuration Management 11.x
Összefoglaló
A Novell ZENworks Configuration Management több sérülékenységét jelentették, amiket kihasználva a támadók hamisításos (spoofing) és cross-site scripting (XSS/CSS) támadásokat hajthatnak végre.
Leírás
- Az “fwdToURL” paraméteren keresztül átadott bemeneti adat nem megfelelően van ellenőrizve, mielőtt a felhasználók átirányításában felhasználásra kerülne. Ezt kihasználva tetszőleges weboldalra lehet átirányítani a felhasználókat, ha azok megnyitnak egy speciálisan elkészített hivatkozást.
- A language paraméteren keresztül a Login.jsp részére átadott bemeneti adat nem megfelelően van megtisztítva a felhasználók számára történő visszaadás előtt. Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
- Bizonyos nem részletezett bemeneti adat nem megfelelően van megtisztítva a felhasználók számára történő visszaadás előtt. Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
A sérülékenységeket az 11.2 verzióban jelentették, de más kiadások is érintettek lehetnek.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.novell.com
Gyártói referencia: www.novell.com
Gyártói referencia: www.novell.com
Gyártói referencia: www.novell.com
Gyártói referencia: www.novell.com
CVE-2013-1093 - NVD CVE-2013-1093
CVE-2013-1094 - NVD CVE-2013-1094
CVE-2013-1095 - NVD CVE-2013-1095
CVE-2013-1097 - NVD CVE-2013-1097
SECUNIA 53648