Множественные уязвимости в SpagoBI

Дата публикации:
12.03.2014
Дата изменения:
12.03.2014
Всего просмотров:
1592
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
4
CVSSv2 рейтинг:
(AV:N/AC:M/Au:N/C:N/I:C/A:N/E:U/RL:OF/RC:C) = Base:7.1/Temporal:5.3
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
CVE ID:
CVE-2013-6231
CVE-2013-6232
CVE-2013-6233
CVE-2013-6234
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
SpagoBI 4.x
Уязвимые версии: SpagoBI 4.x, возможно более ранние версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и обойти некоторые ограничения безопасности.

1. Уязвимость существует из-за ошибки в приложении при ограничения доступа к /SpagoBI/servlet/AdapterHTTP (когда "ACTION_NAME" установлен в "MANAGE_USER_ACTION"). Удаленный пользователь может изменить права произвольных пользователей.

2. Уязвимость существует из-за недостаточной обработки входных данных в заметки в оформлении документов. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта если, вредоносные данные рассматривается.

3. Уязвимость существует из-за недостаточной обработки входных данных в поле "Description" в "Short document metadata". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта, если вредоносные данные рассматривается.

4. Уязвимость существует из-за ошибки в дизайнере Worksheet при загрузке изображений. Удаленный пользователь может провести вставки сценария или загрузить произвольные файлы.

URL производителя: http://www.spagoworld.org

Решение: Установите последнюю версию 4.1 с сайта производителя.

Ссылки: http://www.spagoworld.org/xwiki/bin/view/SpagoWorld/News?id=SpagoBI41
http://archives.neohapsis.com/archives/fulldisclosure/2014-03/0015.html
http://archives.neohapsis.com/archives/fulldisclosure/2014-03/0016.html
http://archives.neohapsis.com/archives/fulldisclosure/2014-03/0017.html
http://archives.neohapsis.com/archives/fulldisclosure/2014-03/0018.html

или введите имя

CAPTCHA