SAP Crystal Reports “service” cross-site scripting sérülékenység


2011. szeptember 16. 08:57

CH azonosító

CH-5568

Angol cím

SAP Crystal Reports "service" Cross-Site Scripting Vulnerability

Felfedezés dátuma

2011.09.15.

Súlyosság

Alacsony

Érintett rendszerek

Crystal Reports
SAP

Érintett verziók

SAP Crystal Reports 2008 12.x

Összefoglaló

A SAP Crystal Reports olyan sérülékenységét jelentették, amelyet kihasználva a támadók cross-site scripting (CSS/XSS) támadásokat hajthatnak végre.

Leírás

A “service” paraméter által a pubDBLogon.js-nek átadott bemenet nincs megfelelően ellenőrizve, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében, az érintett oldallal kapcsolatosan.

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: service.sap.com
Egyéb referencia: dsecrg.com
SECUNIA 46055