Sonar sérülékenységek


2013. február 20. 07:07

CH azonosító

CH-8507

Angol cím

Sonar Multiple Vulnerabilities

Felfedezés dátuma

2013.02.19.

Súlyosság

Alacsony

Érintett rendszerek

Sonar
SonarSource

Érintett verziók

Sonar 3.x

Összefoglaló

A Sonar olyan sérülékenységei váltak ismertté, amelyeket kihasználva a rosszindulatú felhasználók megkerülhetnek bizonyos biztonsági korlátozásokat, illetve a támadók cross-site scripting (XSS/CSS) támadásokat tudnak végrehajtani.

Leírás

  1. A projekt analízis kezelésekor keletkező hiba kihasználható a projekt szabályok alapértelmezett értékekre történő visszaállítására.
    A sérülékenység a 3.4 verzióban található, de korábbi kiadások is érintettek lehetnek.
  2. Számos paraméterrel különböző scripteknek átadott bemeneti adatok nincsenek megfelelően megtisztítva a felhasználónak történő visszaadás előtt. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
    Az érintett paraméterek és scriptek listája:
    • http://[host]/dependencies/index?search
    • http://[host]/reviews/index?assignee_login&author_login
    • http://[host]/api/sources?resource

    A sérülékenység az Apache Tomcat 7.0.37 verzión futó 3.4.1 verziót érinti, de más kiadások is érintettek lehetnek.

Megoldás

Az 1. számú sérülékenység javításra került a 3.4.1 verzióban. A 2. számú sérülékenységnek jelenleg nincs megoldása.

Támadás típusa

Input manipulation (Bemenet módosítás)
Other (Egyéb)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: docs.codehaus.org
Gyártói referencia: jira.codehaus.org
Egyéb referencia: archives.neohapsis.com
SECUNIA 52146
SECUNIA 52069

Legfrissebb sérülékenységek
CVE-2025-40602 – SonicWall SMA1000 Missing Authorization sérülékenysége
CVE-2025-59374 – ASUS Live Update Embedded Malicious Code sérülékenysége
CVE-2025-20393 – Cisco Multiple Products Improper Input Validation sérülékenysége
CVE-2025-58360 – OSGeo GeoServer Improper Restriction of XML External Entity Reference sérülékenysége
CVE-2018-4063 – Sierra Wireless AirLink ALEOS Unrestricted Upload of File with Dangerous Type sérülékenysége
CVE-2025-14174 – Google Chromium Out of Bounds Memory Access sérülékenysége
CVE-2025-14611 – Gladinet CentreStack and Triofox Hard Coded Cryptographic sérülékenysége
CVE-2025-43529 – Apple Multiple Products Use-After-Free WebKit sérülékenysége
CVE-2025-21621 – GeoServer Reflected Cross-Site Scripting (XSS) sérülékenység
CVE-2025-64471 – Fortinet FortiWeb sérülékenysége
Tovább a sérülékenységekhez »