CH azonosító
CH-6461Angol cím
Webfolio CMS Cross-Site Request Forgery VulnerabilityFelfedezés dátuma
2012.02.28.Súlyosság
AlacsonyÖsszefoglaló
A Webfolio CMS sérülékenysége vált ismertté, amelyet kihasználva a támadók cross-site request forgery (XSRF/CSRF) támadásokat hajthatnak végre.
Leírás
Az alkalmazás lehetővé teszi a felhasználók számára, hogy bizonyos műveleteket HTTP kéréseken keresztül hajtsanak végre megfelelő jogosultság ellenőrzés nélkül. Ez kihasználható pl. adminisztratív felhasználó létrehozására vagy egy weboldal szerkesztésére, amikor a bejelentkezett adminisztratív felhasználó egy speciálisan megszerkesztett oldalt nyit meg.
A sérülékenységet az 1.1.4 verzióban jelentették. Más kiadások is érintettek lehetnek.
Megoldás
Ne böngésszen nem megbízható oldalakat és ne kövessen nem megbízható hivatkozásokat, amíg be van jelentkezve az alkalmazásba.
Támadás típusa
Security bypass (Biztonsági szabályok megkerülése)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
OTHER:Egyéb referencia: ivanobinetti.blogspot.com
SECUNIA 48190