CH azonosító
CH-5206Angol cím
Oracle Secure Backup Multiple VulnerabilitiesFelfedezés dátuma
2011.07.19.Súlyosság
KözepesÖsszefoglaló
Az Oracle Secure Backup több sérülékenységét is jelentették, melyeket a támadók kihasználhatnak cross-site scripting (CSS/XSS) támadások és cross-site request forgery (CSRF/XSRF) támadások kezdeményezésére vagy a sérülékeny rendszer feltörésére.
Leírás
- A login.php “mode” paraméterének átadott bemeneti adat ellenőrzése nem megfelelő, mielőtt visszaadnák azt a felhasználónak. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
- Az alkalmazás lehetővé teszi, hogy a felhasználók bizonyos műveleteket hajtsanak végre HTTP kéréseken keresztül, a kérések érvényességének ellenőrzése nélkül. Ez kihasználható például egy adminisztrátori jogosultságú felhasználó hozzáadására, ha az adminisztrátori jogosultsággal bejelentkezett felhasználó ellátogat a káros web oldalra.
- A Secure Backup komponens meghatározatlan hibája kihasználható a sérülékeny rendszer feltörésére.
A sérülékenységeket a 10.3.0.3.0 verzióban jelentették. Más verziók is érintettek lehetnek.
Támadás típusa
Input manipulation (Bemenet módosítás)Unknown (Ismeretlen)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.oracle.com
SECUNIA 43011
CVE-2011-2251 - NVD CVE-2011-2251
CVE-2011-2252 - NVD CVE-2011-2252
CVE-2011-2261 - NVD CVE-2011-2261