Shibboleth Identity Provider cross-site scripting sérülékenység

CH azonosító

CH-4970

Angol cím

Shibboleth Identity Provider Cross-Site Scripting Vulnerability

Felfedezés dátuma

2011.05.29.

Súlyosság

Alacsony

Érintett rendszerek

Internet2
Shibboleth

Érintett verziók

Shibboleth 2.x

Összefoglaló

A Shibboleth Identity Provider olyan sérülékenységét jelentették, amelyet kihasználva a támadók cross-site scripting (CSS/XSS) támadásokat hajthatnak végre.

Leírás

A Velocity macro sablonoknak átadott bemenetek nincsenek megfelelően ellenőrizve, mielőtt visszakerülnének a felhasználóhoz. Ezt kihasználva tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében, az érintett oldal vonatkozásában.

A sérülékenységet a 2.3. verziónál korábbiakban jelentették.

Megoldás

Frissítsen a legújabb verzióra