Межсайтовый скриптинг в Apache Virtual Computing Lab (VCL)

Дата публикации:
20.06.2013
Дата изменения:
20.06.2013
Всего просмотров:
769
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
2
CVSSv2 рейтинг:
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
CVE ID:
CVE-2013-0267
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Apache Virtual Computing Lab (VCL) 2.x
Уязвимые версии:
Apache Virtual Computing Lab (VCL) 2.1
Apache Virtual Computing Lab (VCL) 2.2
Apache Virtual Computing Lab (VCL) 2.2.1
Apache Virtual Computing Lab (VCL) 2.3
Apache Virtual Computing Lab (VCL) 2.3.1

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

1. Уязвимость существует из-за недостаточной обработки входных данных в web GUI. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует из-за недостаточной обработки входных данных в XMLRPC API. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Примечание: Уязвимость затрагивает только версию 2.3.1. Для успешной эксплуатации уязвимости необходимо иметь права доступа nodeAdmin, manageGroup, resourceGrant или userGrant.

URL производителя: http://vcl.apache.org/

Решение: Установите последнюю версию 2.2.2 или 2.3.2 с сайта производителя.

Ссылки: http://mail-archives.apache.org/mod_mbox/www-announce/201305.mbox/<1658214.8zndv4WEi7@treebeard>

или введите имя

CAPTCHA