Bugzilla < 3.6.12 / 4.0.9 / 4.2.4 / 4.4rc1 多個弱點
medium Nessus Plugin ID 62973
語系:
概要
遠端 Web 伺服器中的 CGI 應用程式受到多個弱點的影響。說明
根據其標題,遠端主機上安裝的 Bugzilla 版本受多個弱點的影響:- 由於未正確篩選表格式報告中的欄位值,可插入程式碼,進而允許跨網站指令碼 (XSS)。請注意,此弱點會影響 4.1.1 至 4.2.3 版和 4.3.1 至 4.3.3 版。
(CVE-2012-4189)
- 當嘗試將受限錯誤中的附件標記為過時時,描述會洩漏在產生的錯誤訊息中。請注意,受此影響的版本有 2.16 至 3.6.11、3.7.1 至 4.0.8、4.1.1 至 4.2.3,以及 4.3.1 至 4.3.3。(CVE-2012-4197)
- 使用 'groups' 引數呼叫 User.get 方法時,會洩漏群組的存在,進而允許攻擊者透過錯誤訊息識別群組。請注意,受此影響的版本有 3.7.1 至 4.0.8、4.1.1 至 4.2.3 和 4.3.1 至 4.3.3 版。(CVE-2012-4198)
- 當自訂欄位的可見度受到受限產品或產品元件控制時,自訂欄位名稱會在所產生的 JavaScript 程式碼中洩漏。請注意,受此影響的版本有 3.3.4 至 3.6.11、3.7.1 至 4.0.8、4.1.1 至 4.2.3,以及 4.3.1 至 4.3.3。(CVE-2012-4199)
- YUI2 的 swfstore.swf 中存在一個弱點,可允許針對主控受影響 YUI .swf 檔案的網域建立 JavaScript 插入惡意利用。請注意,受此影響的版本有 3.7.1 至 4.0.8、4.1.1 至 4.2.3 和 4.3.1 至 4.3.3 版。(CVE-2012-5883)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。
解決方案
升級至 Bugzilla 3.6.12 / 4.0.9 / 4.2.4 / 4.4rc1 或更新版本另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 62973
檔案名稱: bugzilla_3_6_12.nasl
版本: 1.11
類型: remote
系列: CGI abuses
已發布: 2012/11/20
已更新: 2022/4/11
組態: 啟用 Paranoid 模式, 啟用徹底檢查
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.2
CVSS v2
風險因素: Medium
基本分數: 5
時間分數: 4.1
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
弱點資訊
CPE: cpe:/a:mozilla:bugzilla
必要的 KB 項目: Settings/ParanoidReport, installed_sw/Bugzilla
排除在外的 KB 項目: Settings/disable_cgi_scanning
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2012/11/13
弱點發布日期: 2012/11/13
參考資訊
CVE: CVE-2012-4189, CVE-2012-4197, CVE-2012-4198, CVE-2012-4199, CVE-2012-5883