Программа: Bugzilla 2.x

Уязвимость позволяет удаленному злоумышленнику выполнить XSS нападение и получить доступ к конфиденциальной информации на целевой системе.

1) Уязвимость существует из-за ошибки в проверке входных данных, вложенных в тэги <h1> и <h2>. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

2) Уязвимость существует из-за ошибки при просмотре вложенных файлов в режиме «diff», позволяющей пользователям не входящим в группу «insidergroup» читать описания вложенных файлов. Также, при экспортировании ошибок в формат XML, поле
"deadline" также видимо для пользователей, не входящих в группу
"timetrackinggroup".

3) Уязвимость существует из-за ошибки, позволяющей пользователям выполнить определенные действия через запросы HTTP GET и POST, без проверки полномочий пользователя. Атакующий может модифицировать, удалять и создавать новые записи об ошибках.

4) Уязвимость существует из-за ошибки в проверке входных данных в showdependencygraph.cgi. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.



Оставить мнение