Podatność CVE-2012-6112


Publikacja: 2013-01-27   Modyfikacja: 2013-01-28

Opis:
classes/GoogleSpell.php in the PHP Spellchecker (aka Google Spellchecker) addon before 2.0.6.1 for TinyMCE, as used in Moodle 2.1.x before 2.1.10, 2.2.x before 2.2.7, 2.3.x before 2.3.4, and 2.4.x before 2.4.1 and other products, does not properly handle control characters, which allows remote attackers to trigger arbitrary outbound HTTP requests via a crafted string.

Typ:

CWE-noinfo

CVSS2 => (AV:N/AC:L/Au:N/C:N/I:P/A:N)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
5/10
2.9/10
10/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Brak
Częściowy
Brak
Affected software
Tinymce -> Spellchecker php 
Moodle -> Moodle 

 Referencje:
https://moodle.org/mod/forum/discuss.php?d=220157
https://github.com/tinymce/tinymce_spellchecker_php/commit/22910187bfb9edae90c26e10100d8145b505b974
http://www.tinymce.com/forum/viewtopic.php?id=30036
http://www.tinymce.com/develop/changelog/?type=phpspell
http://openwall.com/lists/oss-security/2013/01/21/1
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-37283

Copyright 2024, cxsecurity.com

 

Back to Top