Межсайтовый скриптинг и раскрытие информации в Mahara

Дата публикации:
26.06.2009
Дата изменения:
15.11.2009
Всего просмотров:
653
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2009-2170
CVE-2009-2171
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Раскрытие важных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Mahara 1.x
Уязвимые версии: Mahara версии ранее 1.0.12 и 1.1.5

Описание:
Уязвимости позволяют удаленному пользователю произвести XSS нападение, а также получить доступ к важным данным.

1. Уязвимость существует из-за недостаточной обработки входных данных перед возвращением пользователю. Удаленный пользователь с помощью специально сформированного запроса может выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует из-за ошибки, которая позволяет удаленному пользователю получить доступ к "artefact" другого пользователя без требуемых полномочий.

URL производителя: http://www.mahara.org/

Решение: Установите последнюю версию 1.0.12 или 1.1.5 с сайта производителя.

Ссылки: http://mahara.org/interaction/forum/topic.php?id=752
http://mahara.org/interaction/forum/topic.php?id=753

или введите имя

CAPTCHA