Practico CMS Cross-Site Scripting sérülékenysége

CH azonosító

CH-9983

Angol cím

Practico CMS Cross-Site Scripting and Request Forgery Vulnerabilities

Felfedezés dátuma

2013.11.11.

Súlyosság

Közepes

Érintett rendszerek

CMS

Érintett verziók

Practico CMS 13.911 , de más verziók is érintettek lehetnek.

Összefoglaló

Gjoko Krstic több sérülékenységet is felfedezett a Partico CMS-ben, amelyek lehetővé teszik rosszindulatú felhasználók számára, hogy cross-site scripting vagy kérelem hamisításos támadást hajtsanak végre.

Leírás

Gjoko Krstic több sérülékenységet is felfedezett a Partico CMS-ben, amelyek  lehetővé teszik rosszindulatú felhasználók számára, hogy cross-site scripting vagy kérelem hamisításos támadást hajtsanak végre.

1) Az index.php-nek átadott GET paraméterek nincsenek megfelelően megtisztítva, mielőtt visszakerülnek a felhasználókhoz. Ez azt okozza, hogy tetszőleges HTML és script kódokat lehet futtatni a felhasználó böngészőjében az érintett oldal megtekintésekor.

Az érintett paraméterek listája:
http://[host]/index.php?accion
http://[host]/index.php?accion=ver_seguimiento_general&accionbuscar
http://[host]/index.php?error_titulo=1&error_descripcion
http://[host]/index.php?error_titulo
http://[host]/index.php?accion=ver_seguimiento_general&fin_reg
http://[host]/index.php?accion=actualizar_informe&id
http://[host]/index.php?accion=editar_informe&informe
http://[host]/index.php?accion=ver_seguimiento_general&inicio_reg
http://[host]/index.php?accion=listar_usuarios&login_filtro
http://[host]/index.php?accion=listar_usuarios&nombre_filtro
http://[host]/index.php?accion=cargar_objeto&objeto
http://[host]/index.php?accion=guardar_formulario&titulo=1&tabla_datos

2) Az alkalmazás lehetővé teszi a felhasználóknak, hogy HTTP kéréseket hajtsanak végre anélkül, hogy a hitelesítés megtörténne. Ezt kihasználva a felhasználók adminisztratív jogosultságokat szerezhetnek.
 

Megoldás

Jelenleg nem elérhető hivatalos javítás.


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2014-3931 – Multi-Router Looking Glass (MRLG) Buffer Overflow sérülékenysége
CVE-2016-10033 – PHPMailer Command Injection sérülékenysége
CVE-2019-5418 – Rails Ruby on Rails Path Traversal sérülékenysége
CVE-2019-9621 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2016-4484 – Linux sérülékenység
CVE-2025-32463 – Linux sérülékenység
CVE-2025-32462 – Linux sérülékenység
CVE-2025-6463 – Wordpress sérülékenység
CVE-2024-51978 – Brother sérülékenység
Tovább a sérülékenységekhez »