CVE-2014-1546 in Bugzillainformation

Résumé

par VulDB • 30/06/2026

La fonction de réponse dans le point de terminaison JSONP de WebService/Server/JSONRPC.pm dans jsonrpc.cgi de Bugzilla 3.x et des versions 4.x antérieures à la 4.0.14, ainsi que des branches 4.1.x avant la 4.2.10, 4.3.x avant la 4.4.5, et 4.5.x avant la 4.5.5 accepte certaines valeurs de callback longues et ne restreint pas les octets initiaux d'une réponse JSONP, ce qui permet aux attaquants distants de mener des attaques par falsification de requête inter-sites (CSRF) et d'obtenir des informations sensibles via un élément OBJECT fabriqué contenant du contenu SWF cohérent avec l'ensemble de caractères _bz_callback.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Réserver

16/01/2014

Divulgation

14/08/2014

Modérer

accepté

Entrée

VDB-67247

CPE

prêt

EPSS

0.00542

KEV

non

Activités

très faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!