Stoneware webNetwork 6 sérülékenységek

CH azonosító

CH-6312

Angol cím

Stoneware webNetwork 6 Multiple Vulnerabilities

Felfedezés dátuma

2012.01.24.

Súlyosság

Közepes

Érintett rendszerek

Stoneware
webNetwork

Érintett verziók

Stoneware webNetwork 6 6.x

Összefoglaló

A Stoneware webNetwork 6 több sérülékenysége vált ismertté, amelyet kihasználva a rosszindulatú felhasználók script beszúrásos, míg a támadók cross-site request forgery (CSRF/XSRF) és SQL befecskendezéses támadásokat hajthatnak végre.

Leírás

  1. Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ezt kihasználva a cél felhasználó jogosultságaival lehet végrehajtani bizonyos műveleteket, ha az meglátogat egy káros weboldalt.
  2. Bizonyos, a “My Blog”, “TeamPages” és “News Articles” oldalaknak átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód beszúrására, amely a felhasználó böngésző munkamenetében fog lefutni, az érintett oldallal kapcsolatosan, a káros tartalom megtekintésekor.
  3. Bizonyos nem részletezett bemeneti adat nincs megfelelően megtisztítva, mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.

Megoldás

Frissítsen a legújabb verzióra