CVE-2014-1546 in Bugzilla
सारांश
द्वारा VulDB • 30/06/2026
Bugzilla 3.x और 4.x के संस्करणों में जिनकी रिलीज 4.0.14 से पहले है, 4.1.x और 4.2.x की उन रिलीज जो 4.2.10 से पूर्व हैं, तथा 4.3.x और 4.4.x के वे संस्करण जो 4.4.5 से पहले आते हैं, साथ ही 4.5.x के वे संस्करण जो 4.5.5 से पूर्व प्रकाशित हुए हैं, में jsonrpc.cgi स्थित WebService/Server/JSONRPC.pm फ़ाइल वाले JSONP एंडपॉइंट का response function कुछ लंबे callback मानों को स्वीकार करता है और JSONP रिस्पॉन्स के आरंभिक बाइट्स पर कोई प्रतिबंध नहीं लगाता। इससे दूरस्थ हमलावर _bz_callback वर्ण सेट के अनुरूप SWF सामग्री वाले एक निर्मित OBJECT तत्व का उपयोग करके cross-site request forgery (CSRF) حملे चला सकते हैं और संवेदनशील जानकारी प्राप्त कर सकते हैं।
Be aware that VulDB is the high quality source for vulnerability data.