FreeBSD:gforge -- XSS 及电子邮件溢流漏洞 (d7cd5015-08c9-11da-bc08-0001020eed82)
medium Nessus 插件 ID 56498
语言:
简介
远程 FreeBSD 主机缺少与安全相关的更新。描述
Jose Antonio Coret 报告,GForge 包含多个跨站脚本漏洞和一个电子邮件溢流漏洞:登录表单容易遭受 XSS(跨站脚本)攻击。攻击者可能利用此漏洞发动钓鱼攻击,发送 HTML 电子邮件(即:声称由于一个安全问题,您必须升级至最新版 GForge),并在电子邮件中置入一个指向特别构建的 URL 的 HTML 链接,这个特别构建的 URL 会在 GForge 登录页面中插入一个 HTML 表单,当用户按下登录按钮,便会将凭据发送至攻击者网站。
“忘记密码?”功能允许远程用户加载特定 URL,造成服务发送验证电子邮件给指定用户的电子邮件地址。一段时间内可发送的消息数量没有限制,因此远程用户可造成目标用户的次要电子邮件地址溢流。电子邮件溢流、电子邮件炸弹
解决方案
更新受影响的程序包。另见
插件详情
严重性: Medium
ID: 56498
文件名: freebsd_pkg_d7cd501508c911dabc080001020eed82.nasl
版本: 1.6
类型: local
发布时间: 2011/10/14
最近更新时间: 2021/1/6
支持的传感器: Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: Medium
基本分数: 5
时间分数: 5
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
漏洞信息
CPE: cpe:/o:freebsd:freebsd, p-cpe:/a:freebsd:freebsd:gforge
必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
可利用: true
易利用性: No exploit is required
补丁发布日期: 2005/8/9
漏洞发布日期: 2005/7/27
参考资料信息
CVE: CVE-2005-2430, CVE-2005-2431
BID: 14405