Összefoglaló
Az ownCloud két olyan sérülékenységét jelentették, amelyeket kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat hajthatnak végre.
Leírás
- Bizonyos nem részletezett bemeneti adatok nincsenek megfelelően megtisztítva a core/js/oc-dialogs.js-ben, mielőtt visszaadásra kerülnének. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében, az érintett oldal vonatkozásában.
A sérülékenységet az 5.0.7 és 4.0.16 előtti verziókban jelentették. - A files_videoviewer alkalmazással kapcsolatos bizonyos bemeneti adatok nincsenek megfelelően megtisztítva, mielőtt visszaadásra kerülnének. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében, az érintett oldal vonatkozásában.
A sérülékenységet az 5.0.7 és 4.5.12 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Unspecified (Nem részletezett)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: owncloud.org
CVE-2013-2149 - NVD CVE-2013-2149
CVE-2013-2150 - NVD CVE-2013-2150
SECUNIA 53521