Zend Studio függvényleíró script beszúrás sérülékenység


2010. július 13. 07:21

CH azonosító

CH-3303

Felfedezés dátuma

2010.07.11.

Súlyosság

Közepes

Érintett rendszerek

N/A

Érintett verziók

Zend Studio 6.x
Zend Studio 7.x

Összefoglaló

A Zend Studio olyan sérülékenysége vált ismertté, amelyet rosszindulatú támadók kihasználhatnak  a felhasználói rendszer feltörésére.

Leírás

A sérülékenységet a függvényleírók nem megfelelő ellenőrzése okozza, mielőtt azok a tooltip dialógusokban megjelenítésre kerülnek. Ez kihasználható tetszőleges script kód futtatására és  helyi alkalmazások elindítására, amennyiben a megtévesztett felhasználó megnyit egy erre a célra kialakított PHP fájlt és egy rosszindulatú függvényleíró megjelenítésre kerül a tooltip dialógusban.

A sérülékenységet a a Windows operációs rendszer alatt futó 7.2.0-ás verzióban fedezték fel. Más verziók is érintettek lehetnek.

Megoldás

Ne nyisson meg nem megbízható PHP fájlokat.

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: 80vul.com
SECUNIA 40437

Legfrissebb sérülékenységek
CVE-2024-41110 – Docker Engine AuthZ pluginok sérülékenysége
CVE-2024-20401 – Cisco Secure Email Gateway sérülékenysége
CVE-2024-20419 – Cisco Smart Software Manager On-Prem sérülékenysége
CVE-2024-21687 – Atlassian Bamboo Data Center és Server sérülékenysége
CVE-2024-6385 – GitLab CE/EE sérülékenysége
CVE-2024-22280 – VMware Aria Automation sérülékenysége
CVE-2024-5217 – ServiceNow hiányos feketelista sérülékenysége
CVE-2024-5178 – ServiceNow hiányos feketelista sérülékenysége
CVE-2024-4879 – Service Now Inpud Validation sérülékenysége
CVE-2024-6151 – Citrix Virtual Apps and Desktops sérülékenysége
Tovább a sérülékenységekhez »