FreeBSD:bugzilla -- 多個弱點 (e135f0c9-375f-11e3-80b7-20cf30e32f6d)
medium Nessus Plugin ID 70485
語系:
概要
遠端 FreeBSD 主機缺少一個或多個安全性相關更新。說明
Bugzilla 安全性公告報告:跨網站要求偽造 當一個使用者在另一個使用者提交某個錯誤之後立即提交對該錯誤的變更,則會顯示一個空中相撞頁面,通知使用者最近所進行的變更。如果使用者決定無論如何都要提交其變更,此頁面含有一個可用來驗證變更的 token。如果提供特製的 URL,即使在沒有即將顯示空中相撞頁面時,Bugzilla 4.4 中的迴歸還是會導致重新建立此 token,進而允許攻擊者繞過 token 檢查,並毀謗使用者代表自己認可變更。跨網站要求偽造 編輯附件時,會產生一個 token 來驗證使用者所進行的變更。攻擊者可能會利用特製的 URL,強制重新建立 token,進而允許該攻擊者繞過 token 檢查,並毀謗使用者代表自己認可變更。跨網站指令碼 傳遞至 editflagtypes.cgi 的部分參數在 HTML 頁面中未經過正確篩選,進而可能導致 XSS。跨網站指令碼 由於 CVE-2012-4189 的修正不完全,因此表格式報告中某些未正確篩選的欄位值可能會導致 XSS。解決方案
更新受影響的套件。另請參閱
https://bugzilla.mozilla.org/show_bug.cgi?id=911593
https://bugzilla.mozilla.org/show_bug.cgi?id=913904
https://bugzilla.mozilla.org/show_bug.cgi?id=924802
Plugin 詳細資訊
嚴重性: Medium
ID: 70485
檔案名稱: freebsd_pkg_e135f0c9375f11e380b720cf30e32f6d.nasl
版本: 1.6
類型: local
已發布: 2013/10/18
已更新: 2021/1/6
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: Medium
基本分數: 6.8
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
弱點資訊
CPE: p-cpe:/a:freebsd:freebsd:bugzilla, p-cpe:/a:freebsd:freebsd:bugzilla40, p-cpe:/a:freebsd:freebsd:bugzilla42, p-cpe:/a:freebsd:freebsd:bugzilla44, cpe:/o:freebsd:freebsd
必要的 KB 項目: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
修補程式發佈日期: 2013/10/17
弱點發布日期: 2013/10/16
參考資訊
CVE: CVE-2013-1733, CVE-2013-1734, CVE-2013-1742, CVE-2013-1743