TWiki User Organization script beszúrás sérülékenység

CH azonosító

CH-6336

Angol cím

TWiki User Organization Script Insertion Vulnerability

Felfedezés dátuma

2012.01.30.

Súlyosság

Közepes

Érintett rendszerek

TWiki

Érintett verziók

TWiki

Összefoglaló

A TWiki olyan sérülékenysége vált ismertté, amelyet kihasználva a támadók script beszúrásos támadásokat hajthatnak végre.

Leírás

Az Organization mezővel bevitt bemeneti adat felhasználó regisztrációjánál vagy módosításánál nincsen megfelelően megtisztítva mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében az érintett oldallal kapcsolatosan, a kártékony adatok megjelenítésekor.

A sérülékenységet az 5.1.1. verzióban igazolták, de más kiadások is érintve lehetnek.

Megoldás

Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekében