FreeBSD:bugzilla 跨站请求伪造 (7f448dc1-82ca-11e1-b393-20cf30e32f6d)
medium Nessus 插件 ID 58647
语言:
简介
远程 FreeBSD 主机缺少与安全相关的更新。描述
Bugzilla 安全公告:已在 Bugzilla 中发现以下安全问题:
- 由于向 xmlrpc.cgi 发起 POST 请求时缺少 enctype 表单属性验证,发现一个可能存在的 CSRF 漏洞。如果用户访问包含某些恶意 HTML 代码的 HTML 页,则攻击者可代表受害者的帐户,通过在运行 mod_perl 的站点上使用 XML-RPC API,从而对远程 Bugzilla 安装进行更改。在 mod_cgi 下运行的站点不受影响。此外,用户必须已登录目标站点,从而使该漏洞生效。
鼓励尽快升级所有受影响的安装。
解决方案
更新受影响的程序包。另见
插件详情
严重性: Medium
ID: 58647
文件名: freebsd_pkg_7f448dc182ca11e1b39320cf30e32f6d.nasl
版本: 1.6
类型: local
发布时间: 2012/4/10
最近更新时间: 2021/1/6
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Medium
基本分数: 5.1
矢量: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P
漏洞信息
CPE: p-cpe:/a:freebsd:freebsd:bugzilla, cpe:/o:freebsd:freebsd
必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
补丁发布日期: 2012/4/10
漏洞发布日期: 2012/2/22
参考资料信息
CVE: CVE-2012-0453