Összefoglaló
Az osCSS egy olyan sérülékenységét jelentették, amelyet a támadók kihasználva cross-site scripting (XSS) támadásokat hajthatnak végre.
Leírás
Egy hiba az admin/currencies.php script-ben kihasználható cross-site scripting (XSS) támadások végrehajtására.
Több fájlban a “page” paraméternek átadott bemenet és a “zpage” paraméter az admin/geo_zones.php-ban nincs megfelelően ellenőrizve, mielőtt visszaadásra kerülne. Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni egy adminisztrátor böngészőjében, az érintett oldal vonatkozásában.
A sérülékenységet az 1.2.2 RC a verzióban jelentették. Más verziók is érintettek lehetnek.
Megoldás
Módosítsa a forráskódot úgy, hogy a bemenet megfelelően legyen ellenőrizve.
Támadás típusa
Input manipulation (Bemenet módosítás)Misconfiguration (Konfiguráció)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 40502
SECUNIA 22275
Egyéb referencia: www.htbridge.ch