Программа: Liferay Portal 4.x

Найденные уязвимости позволяют удаленному злоумышленнику осуществить XSS атаку и выполнить атаку спуфинга на целевую систему.

1) Уязвимость возникает из-за ошибки в проверке входных данных, передаваемых сообщению shutdown. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта во время завершения работы сервера.

2) Уязвимость возникает из-за ошибки в проверке входных данных, передаваемых через параметр "Greeting" в профайле пользователя. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта во время входа пользователя в систему.

3) Уязвимость возникает из-за ошибки в проверке входных данных, передаваемых через HTTP User-Agent заголовок. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта во время просмотра информации об открытых сессиях.

4) Уязвимость возникает из-за ошибки в функциональности "Forgot Password" при отправке писем. Атакующий, может использовать заголовок User-Agent HTTP для вставки произвольного содержимого в письма, отправляемые приложением.

Успешное эксплуатирование уязвимости требует знание валидного адреса электронной почты, зарегистрированного с приложением.

5) Уязвимость возникает из-за того, что приложение позволяет пользователям выполнять определенные действия через HTTP запросы без осуществления проверки запроса. Атакующий может обманным образом заманить администратора на специально составленный сайт, что позволит ему выполнять запрещенные действия.



Оставить мнение