Podatność CVE-2008-4247
Publikacja: 2008-09-25   Modyfikacja: 2012-02-12

Opis:
ftpd in OpenBSD 4.3, FreeBSD 7.0, NetBSD 4.0, Solaris, and possibly other operating systems interprets long commands from an FTP client as multiple commands, which allows remote attackers to conduct cross-site request forgery (CSRF) attacks and execute arbitrary FTP commands via a long ftp:// URI that leverages an existing session from the FTP client implementation in a web browser.

W naszej bazie, znaleźliśmy następujące noty dla tego CVE:
Tytuł
Autor
Data
Med.
multiple vendor ftpd - Cross-site request forgery
Maksymilian Arci...
26.09.2008

Typ:

CWE-352

 (Cross-Site Request Forgery (CSRF))

CVSS2 => (AV:N/AC:L/Au:N/C:P/I:P/A:P)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
7.5/10
6.4/10
10/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Częściowy
Częściowy
Affected software
Openbsd -> Openbsd 
Netbsd -> Netbsd 
Freebsd -> Freebsd 

 Referencje:
http://www.securitytracker.com/id?1021112
http://www.securitytracker.com/id?1020946
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2010.html
http://www.openbsd.org/cgi-bin/cvsweb/src/libexec/ftpd/ftpd.c.diff?r1=1.183&r2=1.184&f=h
http://www.openbsd.org/cgi-bin/cvsweb/src/libexec/ftpd/ftpd.c
http://www.openbsd.org/cgi-bin/cvsweb/src/libexec/ftpd/ftpcmd.y.diff?r1=1.51&r2=1.52&f=h
http://www.openbsd.org/cgi-bin/cvsweb/src/libexec/ftpd/ftpcmd.y
http://securityreason.com/securityalert/4313
http://securityreason.com/achievement_securityalert/56
http://security.FreeBSD.org/advisories/FreeBSD-SA-08:12.ftpd.asc
http://secunia.com/advisories/33341
http://secunia.com/advisories/32070
http://secunia.com/advisories/32068
http://bugs.proftpd.org/show_bug.cgi?id=3115
ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2008-014.txt.asc
Copyright 2024, cxsecurity.com

 

Back to Top