FreeBSD:bugzilla 跨站请求伪造 (7f448dc1-82ca-11e1-b393-20cf30e32f6d)

medium Nessus 插件 ID 58647

简介

远程 FreeBSD 主机缺少与安全相关的更新。

描述

Bugzilla 安全公告:

已在 Bugzilla 中发现以下安全问题:

- 由于向 xmlrpc.cgi 发起 POST 请求时缺少 enctype 表单属性验证,发现一个可能存在的 CSRF 漏洞。如果用户访问包含某些恶意 HTML 代码的 HTML 页,则攻击者可代表受害者的帐户,通过在运行 mod_perl 的站点上使用 XML-RPC API,从而对远程 Bugzilla 安装进行更改。在 mod_cgi 下运行的站点不受影响。此外,用户必须已登录目标站点,从而使该漏洞生效。

鼓励尽快升级所有受影响的安装。

解决方案

更新受影响的程序包。

另见

https://bugzilla.mozilla.org/show_bug.cgi?id=725663

http://www.nessus.org/u?8980267b

插件详情

严重性: Medium

ID: 58647

文件名: freebsd_pkg_7f448dc182ca11e1b39320cf30e32f6d.nasl

版本: 1.6

类型: local

发布时间: 2012/4/10

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Medium

基本分数: 5.1

矢量: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P

漏洞信息

CPE: p-cpe:/a:freebsd:freebsd:bugzilla, cpe:/o:freebsd:freebsd

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2012/4/10

漏洞发布日期: 2012/2/22

参考资料信息

CVE: CVE-2012-0453