检测

FreeBSD:bugzilla -- 跨站请求伪造 (608ed765-c700-11e3-848c-20cf30e32f6d)

medium Nessus 插件 ID 73632

语言:

简介

远程 FreeBSD 主机缺少一个或多个与安全有关的更新。

描述

Bugzilla 安全公告报告:登录表单没有 CSRF 保护,这意味着攻击者可迫使受害者使用攻击者的凭据进行登录。如果受害者随后报告新安全敏感缺陷,攻击者可立即访问此缺陷。

由于 Bugzilla API 中涉及的更改,此补丁不会向后移植到 4.0 和 4.2 分支,这意味着 Bugzilla 4.0.12 和较早版本以及 4.2.8 和较早版本仍然易受此问题的影响。

解决方案

更新受影响的数据包。

另见

https://bugzilla.mozilla.org/show_bug.cgi?id=713926

http://www.nessus.org/u?ebfa9293

插件详情

严重性: Medium

ID: 73632

文件名: freebsd_pkg_608ed765c70011e3848c20cf30e32f6d.nasl

版本: 1.6

类型: local

发布时间: 2014/4/21

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Low

分数: 2.7

CVSS v2

风险因素: Medium

基本分数: 4

矢量: CVSS2#AV:N/AC:L/Au:S/C:P/I:N/A:N

漏洞信息

CPE: p-cpe:/a:freebsd:freebsd:bugzilla40, p-cpe:/a:freebsd:freebsd:bugzilla42, p-cpe:/a:freebsd:freebsd:bugzilla44, cpe:/o:freebsd:freebsd

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2014/4/18

漏洞发布日期: 2014/4/17

参考资料信息

CVE: CVE-2014-1517