int(1286)

Boletines de Vulnerabilidades


Vulnerabilidad de cross-site scripting (XSS) en Gallery

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Avanzado
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricante afectado GNU/Linux
Software afectado Gallery 1.4.4-pl3

Descripción

Existe una vulnerabilidad de cross-site scripting (XSS) en Gallery 1.4.4-pl3 y versiones anteriores que podría permitir a un atacante remoto ejecutar un script o fichero HTML arbitrario mediante una URL especialmente diseñada y posiblemente mendiante el parámetro "include" en index.php

Solución



Actualización de software

Debian Linux

Debian Linux 3.0
Source:
http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-8woody3.dsc
http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-8woody3.diff.gz
http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5.orig.tar.gz
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-8woody3_all.deb

Identificadores estándar

Propiedad Valor
CVE CAN-2004-1106
BID 11602

Recursos adicionales

Debian Security Advisory DSA-642-1 gallery
http://www.debian.org/security/2005/dsa-642

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2005-01-18

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT