Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
09/06/2014
Vulnerabilitats descobertes en Alfresco Enterprise
S’han reportat diverses vulnerabilitats en Alfresco Enterprise descobertes per Nicolas Verdier, pertanyent a la societat francesa TEHTRI-Security. Estes vulnerabilitats podrien permetre a un atacant remot executar un atac Cross Site Scripting.Risc: Mitjà
Les vulnerabilitats s’han agrupat amb un únic identificador CVE-2014-2939. Un atacant remot podria executar codi arbitrari en el context de sessió de navegador de l’usuari final o necessitar estar autenticat depenent de la vulnerabilitat:
- Pujar arxius XHTML sense validació de codi javascript.
- Elusió del mecanisme anti-XSS a través d’entrades HTML especialment manipulades amb l’etiqueta '<%'.
- El paràmetre GET taskId de /share/page/task-edit és vulnerable a atacs XSS (l’atacant ha d’estar autenticat).
Sistemes Afectats:
Alfresco Enterprise 4.1.6.13 i versions prèvies.
Referències:CVE-2014-2939
Solució:Aplicar l’hotfix 4.1.6.13 subministrat per Alfresco per a la versió afectada o bé actualitzar el programari a la seua versió 4.1.8 o superior.
Notes:Enllaç a la publicació de referència de la vulnerabilitat (anglés).
Font: Hispasec una-al-día