Bugzilla 2.0 < 4.4.3 / 4.5.3 登录表单 XSRF

medium Nessus 插件 ID 74107

简介

远程 Web 服务器包含一个受到跨站请求伪造漏洞影响的 Web 应用程序。

描述

根据其标题,远程主机上安装的 Bugzilla 版本高于 2.0 版本但低于 4.4.3 / 4.5.3。因此,它受到一个跨站请求伪造漏洞的影响。

登录表单存在漏洞,可允许远程攻击者造成用户使用攻击者的凭据登录,从而警告攻击者用户提交的任何缺陷。

请注意,Nessus 尚未测试此问题,而是只依赖于应用程序自我报告的版本号。

解决方案

升级到 Bugzilla 4.4.3 / 4.5.3 或更高版本。

另见

http://www.bugzilla.org/security/4.0.11/

https://bugzilla.mozilla.org/show_bug.cgi?id=713926

插件详情

严重性: Medium

ID: 74107

文件名: bugzilla_login_xsrf.nasl

版本: 1.8

类型: remote

系列: CGI abuses

发布时间: 2014/5/20

最近更新时间: 2022/4/11

配置: 启用偏执模式, 启用全面检查

支持的传感器: Nessus

风险信息

VPR

风险因素: Low

分数: 2.7

CVSS v2

风险因素: Medium

基本分数: 4

时间分数: 3

矢量: CVSS2#AV:N/AC:L/Au:S/C:P/I:N/A:N

漏洞信息

CPE: cpe:/a:mozilla:bugzilla

必需的 KB 项: Settings/ParanoidReport, installed_sw/Bugzilla

排除的 KB 项: Settings/disable_cgi_scanning

易利用性: No known exploits are available

补丁发布日期: 2014/4/17

漏洞发布日期: 2011/12/28

参考资料信息

CVE: CVE-2014-1517

BID: 66984