Vulnerability Bulletins |
Cross-Site Scripting en Gnats y Gnatsweb |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Aumento de la visibilidad |
Dificulty | Avanzado |
Required attacker level | Acceso remoto sin cuenta a un servicio exotico |
System information |
|
Property | Value |
Affected manufacturer | GNU/Linux |
Affected software |
Gnatsweb 4.00 Gnats 4.1.99 |
Description |
|
Se ha descubierto una vulnerabilidad de tipo Cross-Site Scripting en Gnatsweb 4.0 y en Gnats 4.1.99, un sistema de gestión de avisos de problemas. La vulnerabilidad reside en un error de validación del parámetro "database" en el fichero "gnatsweb.pl". Un atacante remoto podría inyectar código javascript o HTML arbitrario mediante el parámetro "database". |
|
Solution |
|
Actualización de software Debian (DSA-1486-1) Debian Linux 4.0 Source http://security.debian.org/pool/updates/main/g/gnatsweb/gnatsweb_4.00-1etch1.dsc http://security.debian.org/pool/updates/main/g/gnatsweb/gnatsweb_4.00.orig.tar.gz http://security.debian.org/pool/updates/main/g/gnatsweb/gnatsweb_4.00-1etch1.diff.gz Independiente de la arquitectura http://security.debian.org/pool/updates/main/g/gnatsweb/gnatsweb_4.00-1etch1_all.deb |
|
Standar resources |
|
Property | Value |
CVE | CVE-2007-2808 |
BID | 24081 |
Other resources |
|
Debian Security Advisory (DSA-1486-1) http://lists.debian.org/debian-security-announce/debian-security-announce-2008/msg00042.html |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2008-02-06 |