CH azonosító
CH-10645Angol cím
PHP Calendar Information Disclosure Weakness and Cross-Site Scripting VulnerabilityFelfedezés dátuma
2014.02.26.Súlyosság
AlacsonyÖsszefoglaló
A PHP Calendar egy-egy gyengesége és sérülékenysége vált ismertté, amelyeket kihasználva a támadók hozzáférhetnek bizonyos információkhoz és cross-site scripting támadást okozhatnak.
Leírás
- Egy hibaüzenetben megjelenik az installáció teljes útja, így a hibakezelés kihasználható ezen adatok nyilvánosságra hozásához.
- Az index.php “lasturl” paramétere (amikor az “action” értéke “login”) a felhasználóhoz való visszatérés előtt nincs megfelelően ellenőrizve, így a felhasználó munkamenetében tetszőleges HTML és Javascript kód futtatható.
A hibák a 2.0.1. verziót érintik, de egyéb kiadások is érintettek lehetnek.
Megoldás
Hivatalos megoldás jelenleg nem érhető el.
Támadás típusa
Cross Site Scripting (XSS/CSS)Information disclosure (Információ/adat szivárgás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 56953
Egyéb referencia: hauntit.blogspot.dk
