Vulnerability Bulletins |
Actualización de seguridad para dotProject |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Avanzado |
| Required attacker level | Acceso remoto con cuenta |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software | dotProject 2.1.6 y anteriores versiones. |
Description |
|
|
dotProject ha publicado dotProject 2.1.7 que es básicamente una actualización de seguridad para la versión 2.1.6, con unas características añadidas. En esta actualización, se soluciona diversas vulnerabilidades de inyecciones SQL y Cross-site-scripting que permiten a usuarios remotos autenticados con rol de administrador ejecutar comandos SQL arbitrarios en la aplicación de la base de datos. Además, también es posible que mediante un vector CSRF un usuario remoto no autenticado explote esta misma vulnerabilidad. Para usuarios de versiones anteriores a la 2.1, también corrige un bug de una actualización si la versión es la 2.1.1. o anterior. |
|
Solution |
|
|
DotProject recomienda actualizar el producto a la versión 2.1.7. Pueden encontrar la última actualización publicada en: http://sourceforge.net/projects/dotproject/files/dotproject/dotProject%20Version%202.1.7/ |
|
Standar resources |
|
| Property | Value |
| CVE |
CVE-2012-5701 CVE-2012-5702 |
| BID | |
Other resources |
|
|
dotProject: http://sourceforge.net/projects/dotproject/files/dotproject/dotProject%20Version%202.1.7/ |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2012-11-26 |