Összefoglaló
A TWiki több olyan sérülékenységét is jelentették, melyeket a támadók
kihasználhatnak cross-site scripting támadások lefolytatására vagy a
sérülékeny rendszer feltörésére.
Leírás
A TWiki több olyan sérülékenységét is jelentették, melyeket a támadók
kihasználhatnak cross-site scripting támadások lefolytatására vagy a
sérülékeny rendszer feltörésére.
- A TWiki “URLPARAM” változójának átadott bemenet nincs megfelelően
ellenőrizve mielőtt visszakerülne azt a felhasználóhoz. Ez kihasználható
tetszőleges HTML és script kód lefuttatására, mialatt a felhasználó az
érintett oldalt böngészi. - A “SEARCH” paraméternek átadott bemenet nincs megfelelően ellenőrizve,
mielőtt az “eval()” függvény hívásához használnák. Ez kihasználható
parancsok befecskendezésére és futtatására egy erre a célra elkészített
HTTP GET kéréssel, ami tartalmazza a visszavonás műveleti jelet.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: twiki.org
Gyártói referencia: twiki.org
SECUNIA 33040
CVE-2008-5304 - NVD CVE-2008-5304
CVE-2008-5305 - NVD CVE-2008-5305