CH azonosító
CH-3744Angol cím
SquirrelMail Virtual Keyboard Plugin "passformname" Cross-Site ScriptingFelfedezés dátuma
2010.10.09.Súlyosság
AlacsonyÉrintett rendszerek
SquirrelMailSquirrelMail Project Team
Virtual Keyboard (plugin for SquirrelMail)
Érintett verziók
Virtual Keyboard 1.x (SquirrelMail modul)
Összefoglaló
A SquirrelMail Virtual Keyboard moduljának egy olyan sérülékenységét fedezték fel, amelyet a támadók kihasználhatnak cross-site scripting (XSS/CSS) támadások indítására.
Leírás
A plugins/vkeyboard/vkeyboard.php “passformname” paraméterének átadott bemeneti adat nincs megfelelően megtisztítva, a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
A sérülékenységet a 0.9.1 verzióban igazolták. Más verziók is érintettek lehetnek.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: archives.neohapsis.com
SECUNIA 41672