Squiz Matrix sérülékenységek

CH azonosító

CH-7100

Angol cím

Squiz Matrix Cross-Site Scripting and Information Disclosure Vulnerabilities

Felfedezés dátuma

2012.06.26.

Súlyosság

Közepes

Érintett rendszerek

Matrix
Squiz

Érintett verziók

Squiz Matrix 4.x

Összefoglaló

A Squiz Matrix több sérülékenységét jelentették, amelyeket kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat indíthatnak és bizalmas információkat szerezhetnek

Leírás

  1. Egy a _admin/ részére továbbított bizonyos XML adatok feldolgozásakor (ha az “SQ_ACTION” beállítása “asset_map_request”) fellépő hiba kihasználható helyi fájlok kiszivárogtatására speciálisan szerkesztett, külső entitásokra hivatkozó XML adatok küldésével.
  2. AZ “am_section”, “assetid”, “sq_asset_path”, “sq_backend_log_type”, “sq_link_path”, “asset_ei_screen”, “current_assetid”, és “tool_reindex_reindexing_root_assetid” paramétereken keresztül _admin/ részére továbbított bemeneti adatok nincsenek megfelelően megtisztítva, mielőtt visszakerülnének a felhasználóhoz. Ezt kihasználva tetszőleges HTML és script kód futtatható le a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatban.

A sérülékenységeket a 4.6.3 verzióban jelentették, de más kiadások is érintettek lehetnek.

Megoldás

Frissítsen a legújabb verzióra