Sencha SNS会话固定和跨站请求伪造漏洞

文章由LinuxBoy分享于2019-04-02 08:04:40热评（671）

Sencha SNS会话固定和跨站请求伪造漏洞

发布日期：2012-04-05
更新日期：2012-04-06

受影响系统：
Sencha SNS Sencha SNS 1.x
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 52900
CVE ID: CVE-2012-1237,CVE-2012-1238

Sencha SNS是社会协作工具。

Sencha SNS在实现上存在两个漏洞，可被恶意用户利用执行跨站请求伪造和会话固定攻击。

1）应用可允许用户通过HTTP请求执行某些操作，而不验证这些请求。

2) 处理会话时存在错误，可通过诱使用户登录到特制的链接劫持另一个用户的会话。

<*来源：Hiroshi Tokumaru

链接：http://secunia.com/advisories/48639/

*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

Sencha SNS
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://oss.icz.co.jp/sns/product.html

推荐文章：

Sencha SNS会话固定和跨站请求伪造漏洞