MobileDetect 2.8.31 Example session_example.php initLayoutType $_SERVER['PHP_SELF'] cross site scripting
Una vulnerabilidad clasificada como problemática fue encontrada en MobileDetect 2.8.31. La función initLayoutType
del archivo examples/session_example.php del componente Example es afectada por esta vulnerabilidad. Por la manipulación del parámetro $_SERVER['PHP_SELF'] de un input desconocido se causa una vulnerabilidad de clase cross site scripting. El advisory puede ser descargado de github.com.
La vulnerabilidad es identificada como CVE-2018-25080. El ataque se puede hacer desde la red. Los detalles técnicos son conocidos.
Fue declarado como proof-of-concept. El exploit puede ser descargado de github.com.
Una actualización a la versión 2.8.32 elimina esta vulnerabilidad. La actualización se puede descargar de github.com. El parche puede ser descargado de github.com. El mejor modo sugerido para mitigar el problema es actualizar a la última versión. Una solución posible ha sido publicada antes y no simplemente después de la publicación de la vulnerabilidad.
Cronología
60 no se muestran más entradas