CH azonosító
CH-6638Angol cím
PHP Agenda Cross-Site Request Forgery VulnerabilityFelfedezés dátuma
2012.04.01.Súlyosság
AlacsonyÖsszefoglaló
A PHP Agenda olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak cross-site request forgery (CSRF/XSRF) támadások kezdeményezésére.
Leírás
Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ez kihasználható egy adminisztrátor hozzáadására, amennyiben egy bejelentkezett felhasználó meglátogat egy rosszindulatú weboldalt.
A sérülékenységet a 2.2.8. verzióban ismerték fel, de más verziók is érintettek lehetnek.
Megoldás
Kizárólag megbízható weboldalakat látogasson és megbízható hivatkozásokat kövessen, amikor be van jelentkezve az alkalmazásba!
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.webapp-security.com
SECUNIA 48685