TWiki cross-site scripting sérülékenységek
Angol cím: 
TWiki Two Cross-Site Scripting Vulnerabilities
CERT-Hungary ID: 
CH-5619
Felfedezés dátuma: 
2011-09-23
Összefoglaló: 

A TWiki olyan sérülékenységei váltak ismertté, amelyeket a támadók kihasználhatnak cross-site scripting (CSS/XSS) támadások kezdeményezésére.

Leírás: 
  1. A bin/view/Main/Jump-ban a "newtopic" paraméter részére átadott bemeneti adat (amikor "template" értéke "WebCreateNewTopic") nem kerül megfelelően ellenőrzésre, mielőtt a felhasználó részére visszaküldésre kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
  2. A SlideShowPlugint használó prezentáció vetítést tartalmazó oldalaknak az URL-lel átadott bemeneti adat nem kerül megfelelően ellenőrzésre a lib/TWiki/Plugins/SlideShowPlugin/SlideShow.pm-ben, mielőtt a felhasználó részére visszaküldésre kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.

A sérülékenységeket az 5.0.2. verzióban ismerték fel, de megelőző verziók is érintettek lehetnek.

Megoldás: 

Frissítsen az 5.1.0. verzióra.

Érintett verziók: 
TWiki