FreeBSD:bugzilla 跨網站要求偽造 (7f448dc1-82ca-11e1-b393-20cf30e32f6d)
medium Nessus Plugin ID 58647
語系:
概要
遠端 FreeBSD 主機缺少安全性相關更新。說明
Bugzilla 安全性公告報告:在 Bugzilla 中發現下列安全性問題:
- 由於在向 xmlrpc.cgi 提出 POST 要求時未驗證 enctype 表單屬性,可能會出現一個 CSRF 弱點。如果使用者造訪其中含有某惡意 HTML 程式碼的 HTML 頁面,攻擊者可代替使用受害者的帳戶,在執行 mod_perl 的網站上,利用 XML-RPC API 對遠端 Bugzilla 安裝進行變更。在 mod_cgi 下執行的網站不會受到影響。此外,使用者必須已經登入目標網站,此弱點才會發生作用。
建議盡快升級所有受影響的安裝程式。
解決方案
更新受影響的套件。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 58647
檔案名稱: freebsd_pkg_7f448dc182ca11e1b39320cf30e32f6d.nasl
版本: 1.6
類型: local
已發布: 2012/4/10
已更新: 2021/1/6
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: Medium
基本分數: 5.1
媒介: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P
弱點資訊
CPE: p-cpe:/a:freebsd:freebsd:bugzilla, cpe:/o:freebsd:freebsd
必要的 KB 項目: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
修補程式發佈日期: 2012/4/10
弱點發布日期: 2012/2/22
參考資訊
CVE: CVE-2012-0453