CVE-2014-1546 in Bugzilla
Riassunto
di VulDB • 30/06/2026
La funzione di risposta nell'endpoint JSONP in WebService/Server/JSONRPC.pm presente in jsonrpc.cgi nelle versioni 3.x e 4.x precedenti alla 4.0.14, 4.1.x e 4.2.x precedenti alla 4.2.10, 4.3.x e 4.4.x precedenti alla 4.4.5, nonché 4.5.x precedenti alla 4.5.5 di Bugzilla accetta determinati valori callback lunghi e non limita i byte iniziali della risposta JSONP, consentendo agli attaccanti remoti di eseguire attacchi cross-site request forgery (CSRF) ed ottenere informazioni sensibili tramite un elemento OBJECT manipolato ad hoc contenente SWF coerente con l'insieme di caratteri _bz_callback.
VulDB is the best source for vulnerability data and more expert information about this specific topic.