Prilikom upotrebe programskog paketa Hero Framework uočena je sigurnosna ranjivost. Radi se o CMS (eng. Content Management System) sustavu za upravljanje web sadržajem koji služi za izradu web stranica. Ranjivost se javlja kao posljedica neispravne provjere ulaznih podataka predanih preko parametra "month". Napadači navedenu nepravilnost mogu iskoristiti za izvođenje XSS napada. Budući da je odgovarajuća nadogradnja dostupna, svim se korisnicima preporuča njezina primjena.

_______________________________________________________________________________

ID upozorenja: ADV-LSS-2011-12-065
Naslov: Propust vezan uz Hero Framework
Datum: 2011-12-08
OS: Windows, UNIX/Linux
Programski paket: Hero Framework
Tip sigurnosnog problema: XSS napad
Rizik: Malen
_______________________________________________________________________________

[1]  Uvod

U radu programskog paketa Hero Framework uocen je novi sigurnosni nedostatak.

Hero Framework je CMS (eng. Content Management System) sustav za upravljanje 
web sadrzajem, otvorenog programskog koda, koji sluzi za brzo i jednostavno stvaranje web stranica. Napisan je u objektno-orijentiranom programskom 
jeziku PHP (eng. Hypertext Preprocessor).

Bitnije od njegovih mogucnosti moguce je pronaci na sljedecoj web adresi:

http://www.heroframework.com/

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

Prilikom upotrebe programskog paketa Hero Framework uocena je ranjivost koju 
napadaci mogu iskoristiti za izvodjenje XSS (eng. cross-site scripting) napada.

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Svim se korisnicima preporuca nadogradnja na ispravljenu inacicu.  

-------------------------------------------------------------------------------

[4]  Analiza

Ulazni podaci predani putem parametra "month" nisu ispravno provjereni u odredjenom
predlosku prije vracanja korisniku. Napadaci to mogu iskoristiti za umetanje proizvoljnog HTML ili skriptnog koda u korisnikovom pregledniku u kontekstu posebno oblikovane web stranice.

Ranjivost je potvrdjena u inacici 3.69. Starije inacice takodjer mogu sadrzavati 
istu ranjivost.

-------------------------------------------------------------------------------

[5]  Credit

Informacije o propustu otkrio je:

Gjoko Krstic, Zero Science Lab.

Tekst izvorne preporuke nalazi se na sljedecoje adresi:

ZSL-2011-5061:
http://www.zeroscience.mk/en/vulnerabilities/ZSL-2011-5061.php

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke 
  sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva  
  Sveucilista u Zagrebu  

_______________________________________________________________________________