Межсайтовый скриптинг в Horde Application Framework

Дата публикации:
22.12.2009
Всего просмотров:
816
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2009-3701
CVE-2009-4363
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Horde Application Framework 3.x
Уязвимые версии: Horde Application Framework 3.3.5, возможно более ранние версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение.

1. Уязвимость существует из-за недостаточной обработки входных данных в URL в сценариях admin/phpshell.php, admin/cmdshell.php и admin/sqlshell.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует из-за недостаточной фильтрации "data:" URI в механизме обработки HTML кода. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Уязвимость может эксплуатироваться посредством Gecko браузеров (например, Mozilla Firefox).

URL производителя: www.horde.org/horde/

Решение: Установите последнюю версию 3.3.6 с сайта производителя.

Ссылки: http://marc.info/?l=horde-announce&m=126090147727568&w=2
http://bugs.horde.org/ticket/8715
http://archives.neohapsis.com/archives/fulldisclosure/2009-12/0388.html

или введите имя

CAPTCHA