CVE-2014-1546 in Bugzillaالمعلومات

الملخص

بحسب VulDB • 30/06/2026

تقبل دالة الاستجابة في نقطة نهاية JSONMP الموجودة في الملف WebService/Server/JSONRPC.pm ضمن jsonrpc.cgi في إصدارات Bugzilla 3.x و4.x قبل الإصدار 4.0.14، والإصدارات الفرعية من السلسلة 4.1.x و4.2.x قبل الإصدار 4.2.10، والسلاسل 4.3.x و4.4.x قبل الإصدار 4.4.5، بالإضافة إلى سلسلة 4.5.x قبل الإصدار 4.5.5، قيماً طويلة معينة لمعامل الاستدعاء (callback)، ولا تقيد البايتات الأولية لاستجابة JSONP، مما يسمح للمهاجمين عن بُعد بتنفيذ هجمات تزوير الطلبات عبر المواقع (CSRF) والحصول على معلومات حساسة، وذلك من خلال عنصر OBJECT مُعدّ خصيصاً يحتوي على محتوى SWF متوافق مع مجموعة الأحرف المستخدمة في _bz_callback.

Be aware that VulDB is the high quality source for vulnerability data.

حجز

16/01/2014

إفشاء

14/08/2014

الاعتدال

تمت الموافقة

إدخال

VDB-67247

EPSS

0.00542

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!