Межсайтовый скриптинг в Contenido

Дата публикации:
24.12.2014
Дата изменения:
24.12.2014
Всего просмотров:
887
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AC:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:0.3/Temporal:0.2
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Contenido 4.x
Уязвимые версии:
Contenido 4.9.5, возможно, более ранние версии до 4.9.0

Описание:

Уязвимость позволяет удаленному пользователю осуществить XSS-атаку.

Уязвимость существует из-за Уязвимость существует из-за недостаточной обработки входных данных в GET-параметрах "idart", "lang" или "idcat" в функции "checkParams()" (contenido/classes/class.requestvalidator.php). Удаленный пользователь может с помощью специально сформированной ссылки выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.


URL производителя: http://www.contenido.org/en/index-c-134-4.html

Решение: Установите исправление с сайта производителя.

Ссылки: http://www.contenido.org/de/cms/CONTENIDO/News/index-c-2044-3.html
http://seclists.org/fulldisclosure/2014/Dec/111