Összefoglaló
A RSSOwl egy sérülékenységét jelentették, amelyet kihasználva a támadók script beszúrásos (script insertion) támadást indíthatnak.
Leírás
Az író nevéhez és e-mail címéhez tartozó bemeneti adatok nincsenek megfelelően leellenőrizve a feed információinak megjelenítésekor. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
A sérülékenységet a 2.1 verzióban jelentették, de más kiadások is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 49287
Egyéb referencia: jvn.jp
Egyéb referencia: jvndb.jvn.jp