2023-0027: ViewVC: Zwei Schwachstellen ermöglichen Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2023-01-04 11:22)

Neues Advisory

Version 2 (2023-01-06 11:00)

Für Fedora EPEL 7 steht unter derselben URL ein neues Sicherheitsupdate in Form des Pakets 'viewvc-1.1.30-1.el7' im Status 'testing' bereit, welches zusätzlich die Schwachstelle CVE-2023-22464 behebt. Das Sicherheitsupdate 'viewvc-1.1.29-1.el7' wird damit zurückgezogen und ViewVC wird auf Version 1.1.30 aktualisiert.

Version 3 (2023-01-11 14:29)

Für Debian 10 Buster (LTS) steht ein Sicherheitsupdate für 'viewvc' in Version 1.1.26-1+deb10u1 bereit, um die beiden Schwachstellen zu beheben.

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um verschiedene Cross-Site-Scripting (XSS)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind übliche Privilegien erforderlich. Beide Schwachstellen erfordern die Interaktion eines Benutzers und deren erfolgreiche Ausnutzung kann Einfluss auf andere Komponenten haben.

Für Fedora EPEL 7 stehen Sicherheitsupdates im Status 'testing' zur Behebung der Schwachstellen bereit. ViewVC wird damit auf Version 1.1.30 aktualisiert.

Schwachstellen:

CVE-2023-22456

Schwachstelle in ViewVC ermöglicht Cross-Site-Scripting-Angriff

CVE-2023-22464

Schwachstelle in ViewVC ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.