Boletines de Vulnerabilidades |
Múltiples errores en la validación de la entrada en phpLDAPadmin |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Aumento de la visibilidad |
Dificultad | Principiante |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | GNU/Linux |
Software afectado | phpLDAPadmin < 0.9.8 |
Descripción |
|
Se ha descubierto una vulnerabilidad en phpLDAPadmin 0.9.8 y versiones anteriores. La vulnerabilidad reside en la falta de validación de entrada del usuario en el parámetro "dn" en "compare_form.php", "copy_form.php", "rename_form.php", "template_engine.php", y "delete_form.php"; el parámetro "scope" en "search.php"; y los campos "Container DN", "Machine Name", y "UID Number" en "template_engine.php". Un atacante remoto podría inyectar código HTML o WebScript arbitrario y realizar ataques Cross-Site Scripting mediante enlaces especialmente diseñados que el usuario víctima debería visitar. |
|
Solución |
|
Software update Debian Debian Linux 3.1 Source http://security.debian.org/pool/updates/main/p/phpldapadmin/phpldapadmin_0.9.5-3sarge3.dsc http://security.debian.org/pool/updates/main/p/phpldapadmin/phpldapadmin_0.9.5-3sarge3.diff.gz http://security.debian.org/pool/updates/main/p/phpldapadmin/phpldapadmin_0.9.5.orig.tar.gz Architecture independent http://security.debian.org/pool/updates/main/p/phpldapadmin/phpldapadmin_0.9.5-3sarge3_all.deb |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CVE-2006-2016 |
BID | 17643 |
Recursos adicionales |
|
Debian Security Advisory (DSA 1057-1) http://lists.debian.org/debian-security-announce/debian-security-announce-2006/msg00142.html |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2006-05-16 |