Miembros de
Boletines de Vulnerabilidades |
Actualización de seguridad para dotProject |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Obtener acceso |
| Dificultad | Avanzado |
| Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | GNU/Linux |
| Software afectado | dotProject 2.1.6 y anteriores versiones. |
Descripción |
|
|
dotProject ha publicado dotProject 2.1.7 que es básicamente una actualización de seguridad para la versión 2.1.6, con unas características añadidas. En esta actualización, se soluciona diversas vulnerabilidades de inyecciones SQL y Cross-site-scripting que permiten a usuarios remotos autenticados con rol de administrador ejecutar comandos SQL arbitrarios en la aplicación de la base de datos. Además, también es posible que mediante un vector CSRF un usuario remoto no autenticado explote esta misma vulnerabilidad. Para usuarios de versiones anteriores a la 2.1, también corrige un bug de una actualización si la versión es la 2.1.1. o anterior. |
|
Solución |
|
|
DotProject recomienda actualizar el producto a la versión 2.1.7. Pueden encontrar la última actualización publicada en: http://sourceforge.net/projects/dotproject/files/dotproject/dotProject%20Version%202.1.7/ |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE |
CVE-2012-5701 CVE-2012-5702 |
| BID | |
Recursos adicionales |
|
|
dotProject: http://sourceforge.net/projects/dotproject/files/dotproject/dotProject%20Version%202.1.7/ |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2012-11-26 |