Összefoglaló
A PHP City Portal cross-site scripting (XSS) sérülékenységét jelentették, amelyet a felhasználók által bevitt bemenet nem megfelelő ellenőrzése vált ki.
Leírás
A PHP City Portal cross-site scripting (XSS) sérülékenységét jelentették, amelyet a felhasználók által bevitt bemenet nem megfelelő ellenőrzése vált ki.
A sérülékenységet kihasználva a támadók tetszőleges HTML és script kódot futtathatnak a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
Ez lehetővé teszi, hogy a támadó ellopja a cookie-alapú hitelesítéshez használt tanúsítványokat, és más típusú támadásokat is indítson.
A támadók úgy tudják kihasználni ezt a hibát, hogy a gyanútlan felhasználót rábírják a rosszindulatú URI követésére.
A PHP City Portal 1.3 verzióját érinti a sérülékenység. Más verziók is érintettek lehetnek.
Megoldás
Ne látogasson megbízhatatlan weboldalakat és ne kövessen ilyen hivatkozásokat se!
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.securityfocus.com