Vulnerability Bulletins |
Múltiples errores en la validación de la entrada en phpLDAPadmin |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Aumento de la visibilidad |
| Dificulty | Principiante |
| Required attacker level | Acceso remoto sin cuenta a un servicio exotico |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software | phpLDAPadmin < 0.9.8 |
Description |
|
|
Se ha descubierto una vulnerabilidad en phpLDAPadmin 0.9.8 y versiones anteriores. La vulnerabilidad reside en la falta de validación de entrada del usuario en el parámetro "dn" en "compare_form.php", "copy_form.php", "rename_form.php", "template_engine.php", y "delete_form.php"; el parámetro "scope" en "search.php"; y los campos "Container DN", "Machine Name", y "UID Number" en "template_engine.php". Un atacante remoto podría inyectar código HTML o WebScript arbitrario y realizar ataques Cross-Site Scripting mediante enlaces especialmente diseñados que el usuario víctima debería visitar. |
|
Solution |
|
|
Software update Debian Debian Linux 3.1 Source http://security.debian.org/pool/updates/main/p/phpldapadmin/phpldapadmin_0.9.5-3sarge3.dsc http://security.debian.org/pool/updates/main/p/phpldapadmin/phpldapadmin_0.9.5-3sarge3.diff.gz http://security.debian.org/pool/updates/main/p/phpldapadmin/phpldapadmin_0.9.5.orig.tar.gz Architecture independent http://security.debian.org/pool/updates/main/p/phpldapadmin/phpldapadmin_0.9.5-3sarge3_all.deb |
|
Standar resources |
|
| Property | Value |
| CVE | CVE-2006-2016 |
| BID | 17643 |
Other resources |
|
|
Debian Security Advisory (DSA 1057-1) http://lists.debian.org/debian-security-announce/debian-security-announce-2006/msg00142.html |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2006-05-16 |