CVE-2014-1546 in Bugzillaजानकारी

सारांश

द्वारा VulDB • 30/06/2026

Bugzilla 3.x और 4.x के संस्करणों में जिनकी रिलीज 4.0.14 से पहले है, 4.1.x और 4.2.x की उन रिलीज जो 4.2.10 से पूर्व हैं, तथा 4.3.x और 4.4.x के वे संस्करण जो 4.4.5 से पहले आते हैं, साथ ही 4.5.x के वे संस्करण जो 4.5.5 से पूर्व प्रकाशित हुए हैं, में jsonrpc.cgi स्थित WebService/Server/JSONRPC.pm फ़ाइल वाले JSONP एंडपॉइंट का response function कुछ लंबे callback मानों को स्वीकार करता है और JSONP रिस्पॉन्स के आरंभिक बाइट्स पर कोई प्रतिबंध नहीं लगाता। इससे दूरस्थ हमलावर _bz_callback वर्ण सेट के अनुरूप SWF सामग्री वाले एक निर्मित OBJECT तत्व का उपयोग करके cross-site request forgery (CSRF) حملे चला सकते हैं और संवेदनशील जानकारी प्राप्त कर सकते हैं।

Be aware that VulDB is the high quality source for vulnerability data.

आरक्षित करना

16/01/2014

प्रकटीकरण

14/08/2014

प्रविष्टि

VDB-67247

EPSS

0.00542

गतिविधियाँ

बहुत कम

क्षेत्र

Pharma, Telecommunication, ...

स्रोत

Want to know what is going to be exploited?

We predict KEV entries!