int(5205)

Boletines de Vulnerabilidades


Cross-Site Scripting en ViewVC

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Aumento de la visibilidad
Dificultad Avanzado
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricante afectado GNU/Linux
Software afectado ViewVC < 1.0.10
ViewVC 1.1.x < 1.1.4

Descripción

Se ha descubierto una vulnerabilidad de tipo Cross-Site Scripting en ViewVC 1.0 y 1.1. La vulnerabilidad reside en un error en la función "view_queryform" en "lib/viewc.py".

Un atacante remoto podría inyectar código web script o HTML mediante parámetros de entrada no especificados.

Solución



Actualización de software

Suse Linux
Las actualizaciones pueden descargarse mediante YAST o del servidor FTP oficial de Suse Linux.

Identificadores estándar

Propiedad Valor
CVE CVE-2010-0736
BID NULL

Recursos adicionales

SUSE Security Advisory (SUSE-SA:2010:007)
http://www.novell.com/linux/security/advisories/2010_7_sr.html

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2010-04-09

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT