Множественные уязвимости в YUI

Дата публикации:
26.11.2013
Дата изменения:
26.11.2013
Всего просмотров:
1078
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
4
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:N/A:N/E:U/RL:O/RC:C) = Base:0/Temporal:0
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
CVE ID:
CVE-2013-4523
CVE-2013-4524
CVE-2013-4525
CVE-2013-6780
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Раскрытие важных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Moodle 2.3.x
Moodle 2.4.x
Moodle 2.5.x
Уязвимые версии: YUI версий 2.3 - 2.3.9

Описание:
Уязвимость позволяет удаленному пользователю обойти ограничения безопасности на целевой системе.

1. Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Примечание: Для успешной эксплуатации уязвимости значение messaging system должно равняться enabled.

2. Уязвимость существует из-за некорректной обработки плагинов. Удаленный пользователь может с помощью символов обхода каталога раскрыть произвольные данные на целевой системе.

Примечание: Для успешной эксплуатации уязвимости требуется настроенный репозиторий файловой системе.

3. Уязвимость существует из-за недостаточной обработки входных данных в Quiz. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

4. Продукт содержит уязвимую версию YUI. С подробным описанием уязвимостей можно ознакомиться здесь:
http://www.securitylab.ru/vulnerability/448128.php

URL производителя: http://moodle.com/hq/

Решение: Для устранения уязвимости установите продукт версии 2.3.10, 2.4.7, 2.5.3 или 2.6 с сайта производителя.

Ссылки: https://moodle.org/mod/forum/discuss.php?d=244480
https://moodle.org/mod/forum/discuss.php?d=244481
https://moodle.org/mod/forum/discuss.php?d=244482
https://moodle.org/mod/forum/discuss.php?d=244483

или введите имя

CAPTCHA