Rumba CMS-də XSS zəifliyi mövcuddur. İstifadəçi zəif tətbiq çərçivəsində əsassız JavaScript kodunu yerinə yetirə bilər.

Zəiflik /index.php faylın "sendname" parametrində giriş məlumatları zəif yoxlanılması nəticəsindən mövcuddur.

İstehsalçının veb-saytı ilə ən axırıncı versiyanı yükləyin.

ArtGK CMS-də XSS zəifliyi mövcuddur. İstifadəçi zəif tətbiq çərçivəsində əsassız JavaScript kodunu yerinə yetirə bilər.

Zəiflik cms/classes/CAction.php faylın "_a[0][vars][head]" parametrində giriş məlumatları zəif yoxlanılması nəticəsindən mövcuddur.

İstehsalçının veb-saytı ilə ən axırıncı versiyanı yükləyin.

Zəiflik calendar.class.php faylın "category_name", category_description", "event_name", "event_description" parametrində giriş (POST) məlumatları zəif yoxlanılması nəticəsindən mövcuddur.

İstehsalçının veb-saytı ilə ən axırıncı versiyanı yükləyin.

http://www.apphp.com/php-calendar/index.php?page=downloads

phpMyAdmin 3.3.6 verisyada XSS zəifliyi mövcuddur. XSS hücumunu debug məlumatı ilə istifadə etmək mümkundür. XSS - PHP backtrace səhflər haqqında məlumatlarda mövcuddur.

2.11.x budaq bununla təsir göstərilmir.

CVE-2010-3056

İstehsalçının veb-saytı ilə ən axırıncı versiyanı yükləyin.

Zəifliyi Kuriaki Takashi aşkar etdi. Zəiflik yalnız Internet Explorer-də təsir göstərir. Zəiflik bütün bu yaxınlardakı versiyalara təsir göstərməyin ehtimal edilir, bu 6 və 8 versiyalarda təsdiq edilmişdir.

Wiki-də imtiyazlı hərəkətlərin icrasını təşkil etmək üçün istifadə edilə bilən XSS (Cross-Site Scripting) və CSRF (Cross-Site Request Forgery) tapılan zəifliklər, saytda xüsusilə hazırlanan səhifəni açmaq wiki administratoruna pisniyyətli istifadəçilər tərəfindən icazə verir.

Zəifliklər haqda ətraflı məlumatı aşağıda göstərilən linklərdə oxuya bilərsiz:

• https://bugzilla.wikimedia.org/show_bug.cgi?id=23687
• https://bugzilla.wikimedia.org/show_bug.cgi?id=23371

Zəifliklər MediaWiki 1.15.4 və MediaWiki 1.16 beta 3-də aradan qaldırılıblar.

İstehsalçının veb-saytı ilə ən axırıncı versiyanı yükləyin.

İstifadəçi zəif tətbiq çərçivəsində əsassız JavaScript kodunu yerinə yetirə bilər.

Zəiflik "ruubikcms/cms/index.php" skriptində "description" dəişənində ötürülən giriş məlumatın düzgün yoxlanılmamasından səhvə görə mövcuddur. Bu zəifliyin müvəffəqiyyətli istismarı tətbiqin kompromisi ilə, üsulun cookie-əsaslı tanıdıcı, açılışın və ya modifikasiyanın oğurluğundan ilə nəticələnə bilər.

İstehsalçının vebsaytı ilə ən axırıncı versiyanı yükləyin.

İstifadəçi zəif tətbiq çərçivəsində əsassız JavaScript kodunu yerinə yetirə bilər.

Zəiflik uyğun şəkildə "download.php" ssenarisində səhvə görə mövcuddur. Bu zəifliyin müvəffəqiyyətli istismarı tətbiqin kompromisi ilə, üsulun cookie-əsaslı tanıdıcı, açılışın və ya modifikasiyanın oğurluğundan ilə nəticələnə bilər.

İstehsalçının vebsaytı ilə ən axırıncı versiyanı yükləyin.

Zəiflik inner.php faylın "type" parametrində giriş məlumatları zəif yoxlanılması nəticəsindən mövcuddur.

Zəiflik search.php faylın "keys" parametrində giriş məlumatları zəif yoxlanılması nəticəsindən mövcuddur.

 İstehsalçının veb-saytı ilə ən axırıncı versiyanı yükləyin.

İstifadəçi zəif tətbiq çərçivəsində əsassız JavaScript kodunu yerinə yetirə bilər.

Zəiflik uyğun şəkildə "/misc/get_admin.php" skriptində "mysql_host" dəyişənində səhvə görə mövcuddur.

Zəifliyi aradan qaldırmaq üçün yollar hal-hazırda mövcud deyil.

Zəiflik cross-site scripting hücumlarını aparmaq üçün kənar şəxslər tərəfindən istismar edilə bilən LXR Cross Referencer-ində aşkar edilmişdir.

Giriş keçdi, "i" /ident-də parametr istifadəçiyə qayıdılandan əvvəl uyğun şəkildə sanitar vəziyyətini yaxşılaşdırılmır. Bu zədəli saytın kontekstində istifadəçinin brauzer sessiyasında əsassız HTML-i və ssenari kodlarını yerinə yetirmək üçün istismar edilə bilər.

LXR zəifləyi məlumatı haqqında Dan Rozenberq tərəfindən məlumat verilmişdi.

0.9.7 versiyaya yeniləmə.

Zəiflik cross-site scripting hücumlarını aparmaq üçün kənar şəxslər tərəfindən istismar edilə bilən LXR Cross Referencer-ində aşkar edilmişdir.

Giriş keçdi, "i" /ident-də parametr istifadəçiyə qayıdılandan əvvəl uyğun şəkildə sanitar vəziyyətini yaxşılaşdırılmır. Bu zədəli saytın kontekstində istifadəçinin brauzer sessiyasında əsassız HTML-i və ssenari kodlarını yerinə yetirmək üçün istismar edilə bilər.

LXR zəifləyi məlumatı haqqında Dan Rozenberq tərəfindən məlumat verilmişdi.

0.9.7 versiyaya yeniləmə.

2009-cu ildə, Consona SupportSoftun müəssisə proqram təminatı aktivlərini əldə etdi, şəbəkə əsaslı kömək proqram təminatı daxil olmaqla Intelligent Assistance Suite (IAS) adlandırdı. IAS müştərisi komponentləri ActiveX idarə etmələri, NETSCAPE qoşmaları quraşdırıcıları və ya avtonom vasitəsilə çatdırılır. IAS Microsoft Windows platformalarında işləyir. Bu zəifliklər ilə təsir göstərilən Consona məhsulları Consona Live Assistance, Consona Dynamic Agent, Consona Subscriber Assistance, Repair Manager, Consona Subscriber Activiation, and Subscriber Agent özündə saxlayır. 

IAS müxtəlif komponentlərdə zəiflikləri özündə saxlayır.

• ns6plugindestructor.asp faylında cross-site scripting (XSS).
• SdcUser.TgConCtl ActiveX idarə etməsi (tgctlcm.dll) ilə təmin edilən təhlükəli metodlar.
• Bufer SdcUser.TgConCtl ActiveX idarə etməsində (tgctlcm.dll) sərhəddi aşır.
• Repair Service (yalnız Windows Vistada və Windows 7-də quraşdırılan) lokal səlahiyətlərin yüksəlməsi.

Bu zəifliklərin bir neçəsindən istifadə edərək, hücum edən zəif sistemdə əsassız kodu yerinə yetirə bilər. Məsələn, XSS zəifliyindən onda idarə etmə ilə təmin edilən təhlükəli metodlardan istifadə edən əsassız proqramları yükləmək üçün və yerinə yetirmək üçün istifadə edilə bilən SdcUser.TgConCtl idarə etməsi misallarla aydınlaşdırmaq üçün istifadə edilə bilər. Repair Service istifadəçi (və ya Low-Rights IE) SYSTEM səlahiyatlərini qaldırmaq üçün istifadə edilə bilər.

İnam ilə xüsusilə hazırlanan HTML sənədinə (veb-səhifə, HTML elektron poçt məlumat) baxmaq üçün istifadəçi, hücum edən istifadəçinin səlahiyyətləri ilə əsassız kodu yerinə yetirə bildi və Repair Service vasitəsilə SYSTEM səlahiyyətlərini bəlkə əldə edirə bildi.

IAS/Consona dəstəyi xidmətlərini təmin edən saytlar Təhlükəsizlik Bülleteninə 2010 apreldə istinad edilən müvafiq yamaqları tətbiq etməlisiz.

n6plugindestructor.asp-ı silin.

İlk cross-site scripting vektorunu yox etmək, IAS/Consona dəstəyi xidmətlərini təmin edən saytlar dəstək veb-saytından ns6plugindestructor.asp-ı silin. Bu faylı silməklə çətin ki funksional imkanı azaltmaq üçün, ancaq əks effektləri ola bilər.

SdcUser.TgConCtl ActiveX idarə etməsinə domenilərə giriş limitini qoyun.

SupportSoft ActiveX idarə etmələri yalnız həqiqi lisenziya informasiyasını özündə saxlayan saytlardan skriptlər ola bilər. Rəhbərliyin ardınca 2010 apreldə Təhlükəsizlik Bülleteni, IAS/Consona dəstəyi xidmətlərini təmin edən saytlar DNS spoofing hücumlarının imkanını azaltmaq üçün Windows qeyd şöbəsində (reesterdə) imkan verilən domenləri siyahıya daxil etmək və HTTPS-dən istifadə etmək idarə etmələri qəbul etmək ilə domen girişi məhdudiyyətləri arta bilər.

Internet Explorerdə SdcUser.TgConCtl ActiveX idarə etməsini söndürün.

IAS/Consona dəstəyi xidmətlərinin şəbəkə müştəriləri qaydaya salma ilə Internet Explorerdə zəif ActiveX idarə etməsini söndürün, növbəti CLSID silin:

{01113300-3E00-11D2-8470-0060089874ED}
 

Daha çox informasiya əldə etmək, Microsoft Support Document 240797-də mümkündür. Alternativ olaraq, növbəti mətn .reg faylı kimi saxlana bilər və Windows qeyd şöbəsinə (reesterdə) idxal edilə bilər:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{01113300-3E00-11D2-8470-0060089874ED}]
"Compatibility Flags"=dword:00000400