Phorum cross-site scripting sérülékenységek

CH azonosító

CH-7474

Angol cím

Phorum Multiple Cross-Site Scripting Vulnerabilities

Felfedezés dátuma

2012.08.28.

Súlyosság

Alacsony

Érintett rendszerek

N/A
Phorum

Érintett verziók

Phorum 5.x

Összefoglaló

A Phorum több sérülékenységét jelentették, amiket kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat hajthatnak végre.

Leírás

  1. A control.php részére a “group” paraméterrel átadott bemeneti adat nem megfelelően van megtisztítva, mielőtt visszakerülne a felhasználóhoz. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
  2. Bizonyos nem részletezett bemeneti adat nem megfelelően van megtisztítva, mielőtt visszakerülne a felhasználóhoz. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.

A sérülékenységeket az 5.2.18 verzióban jelentették, de más kiadások is érintettek lehetnek.

Megoldás

Frissítsen a legújabb verzióra