Detalji

Prilikom upotrebe programskog paketa MeshCMS uočena je nova sigurnosna ranjivost. Radi se o alatu napisanom u programskom jeziku Java, koji služi za uređivanje web sadržaja (eng. Content Management System - CMS). Sigurnosna ranjivost nastaje zbog neodgovarajuće provjere određenih HTTP zahtjeva. Udaljenim napadačima spomenuta nepravilnost omogućuje izvođenje XSS (eng. cross-site scripting) napada. Svim se korisnicima savjetuje izbjegavanje otvaranja nepouzdanih web stranica dok su prijavljeni u spomenutom programu.

_______________________________________________________________________________

ID upozorenja: ADV-LSS-2010-01-004
Naslov: Otklonjena ranjivost programskog paketa MeshCMS 
Datum: 2010-01-24
OS: Windows, Linux, Mac OS, BSD, Solaris
Programski paket: MeshCMS
Tip sigurnosnog problema: XSS napad
Rizik: Malen
_______________________________________________________________________________

[1]  Uvod

U radu programskog paketa MeshCMS uocena je sigurnosna ranjivost.

MeshCMS je alat napisan u programskom jeziku Javi, a koji se koristi za online uredjivanje web stranica.

Bitnije od njegovih mogucnosti su:

- jednostavan za instalaciju,
- WYSIWYG uredjivac teksta,
- u radu ne koristi bazu podataka, i dr.

Za detaljnije informacije o spomenutom paketu preporuca se pregled sljedece web adrese:

http://cromoteca.com/en/meshcms/

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

Uoèena sigurnosna ranjivost programskog paketa MeshCMS napadacima omogucuje izvodjenje XSS (eng. cross-site scripting) napada.

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Svim se korisnicima savjetuje izbjegavanje otvaranja osjetljivih web stranica dok
su prijavljeni u spomenutu aplikaciju.  

-------------------------------------------------------------------------------

[4]  Analiza

Sigurnosna ranjivost napadacima omogucuje izvodjenje odredjenih radnji putem HTTP
zahtjeva, bez odgovarajuce provjere valjanosti takvih zahtjeva. Ranjivost napadacima omogucuje npr. dodavanje proizvoljnih korisnika navodjenjem administratora sustava na pregled odredjene zlonamjerno oblikovane web stranice kada su prijavljeni u aplikaciju.

Ranjivost je uocena u inacici 3.5, no postoji mogucnost da i ranije inacice sadrze
istu sigurnosnu ranjivost.

-------------------------------------------------------------------------------

[5]  Credit

Informacije o navedenom propustu otkrio je:

mr_me

Tekst izvorne preporuke nalazi se na sljedecoj web adresi:

http://www.exploit-db.com/exploits/15997

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za  elektronicke 
  sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva  
  Sveucilista u Zagrebu  

_______________________________________________________________________________

Idi na vrh