Межсайтовый скриптинг в Apache Virtual Computing Lab (VCL)
| Дата публикации: | 20.06.2013 |
| Всего просмотров: | 1049 |
| Опасность: | Низкая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 2 |
| CVSSv2 рейтинг: | 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) |
| CVE ID: | CVE-2013-0267 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Межсайтовый скриптинг |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | Apache Virtual Computing Lab (VCL) 2.x |
| Уязвимые версии:
Apache Virtual Computing Lab (VCL) 2.1 Apache Virtual Computing Lab (VCL) 2.2 Apache Virtual Computing Lab (VCL) 2.2.1 Apache Virtual Computing Lab (VCL) 2.3 Apache Virtual Computing Lab (VCL) 2.3.1 Описание: 1. Уязвимость существует из-за недостаточной обработки входных данных в web GUI. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 2. Уязвимость существует из-за недостаточной обработки входных данных в XMLRPC API. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Примечание: Уязвимость затрагивает только версию 2.3.1. Для успешной эксплуатации уязвимости необходимо иметь права доступа nodeAdmin, manageGroup, resourceGrant или userGrant. URL производителя: http://vcl.apache.org/ Решение: Установите последнюю версию 2.2.2 или 2.3.2 с сайта производителя. |
|
| Ссылки: | http://mail-archives.apache.org/mod_mbox/www-announce/201305.mbox/<1658214.8zndv4WEi7@treebeard> |