CH azonosító
CH-6312Angol cím
Stoneware webNetwork 6 Multiple VulnerabilitiesFelfedezés dátuma
2012.01.24.Súlyosság
KözepesÖsszefoglaló
A Stoneware webNetwork 6 több sérülékenysége vált ismertté, amelyet kihasználva a rosszindulatú felhasználók script beszúrásos, míg a támadók cross-site request forgery (CSRF/XSRF) és SQL befecskendezéses támadásokat hajthatnak végre.
Leírás
- Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ezt kihasználva a cél felhasználó jogosultságaival lehet végrehajtani bizonyos műveleteket, ha az meglátogat egy káros weboldalt.
- Bizonyos, a “My Blog”, “TeamPages” és “News Articles” oldalaknak átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód beszúrására, amely a felhasználó böngésző munkamenetében fog lefutni, az érintett oldallal kapcsolatosan, a káros tartalom megtekintésekor.
- Bizonyos nem részletezett bemeneti adat nincs megfelelően megtisztítva, mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.stone-ware.com
Egyéb referencia: packetstormsecurity.org
SECUNIA 47703
CVE-2012-0285 - NVD CVE-2012-0285
CVE-2012-0286 - NVD CVE-2012-0286