Piwigo User Collections bővítmény cross-site scripting sérülékenység


2013. február 27. 07:09

CH azonosító

CH-8566

Angol cím

Piwigo User Collections Plugin ZeroClipboard Cross-Site Scripting Vulnerability

Felfedezés dátuma

2013.02.25.

Súlyosság

Alacsony

Érintett rendszerek

Piwigo project
User Collections Plugin

Érintett verziók

Piwigo User Collections Plugin 1.x

Összefoglaló

A Piwigo User Collections bővítményének olyan sérülékenységét jelentették, amelyet a támadók kihasználva cross-site scripting (XSS/CSS) támadásokat hajthatnak végre.

Leírás

A piwigo/plugins/User Collections/template/resources/ZeroClipboard.swf részére az “id” GET paraméter által átadott bemeneti adatok nincsenek megfelelően megtisztítva, mielőtt visszaadásra kerülnének. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében az érintett oldal vonatkozásában.

A sérülékenységet az 1.1.0 verzióban jelentették, de más kiadások is érintettek lehetnek.

Megoldás

Ismeretlen

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

SECUNIA 52309
Gyártói referencia: websecurity.com.ua

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2014-3931 – Multi-Router Looking Glass (MRLG) Buffer Overflow sérülékenysége
CVE-2016-10033 – PHPMailer Command Injection sérülékenysége
CVE-2019-5418 – Rails Ruby on Rails Path Traversal sérülékenysége
CVE-2019-9621 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2016-4484 – Linux sérülékenység
CVE-2025-32463 – Linux sérülékenység
CVE-2025-32462 – Linux sérülékenység
CVE-2025-6463 – Wordpress sérülékenység
CVE-2024-51978 – Brother sérülékenység
Tovább a sérülékenységekhez »