Russian

Техническая поддержка

Личный кабинет партнера

PT XDR

Решение класса Extended Detection and Response для выявления киберугроз и реагирования на них

Построение центра ГосСОПКА

Комплексное решение для создания центра ГосСОПКА и взаимодействия с НКЦКИ

Комплекс для раннего выявления сложных угроз

Комплексное решение для раннего выявления и предотвращения целевых атак

Безопасность объектов КИИ

Система безопасности значимых объектов КИИ в соответствии с требованиями закона № 187-ФЗ

PT Industrial Cybersecurity Suite

Комплексная платформа для защиты промышленности от киберугроз

Безопасность Linux-систем

Продукты и решения для обеспечения комплексной безопасности Linux-cистем

Выполнение Указа № 250

Выполнение требований Указа Президента РФ № 250

MaxPatrol 8

Контроль защищенности и соответствия стандартам

MaxPatrol SIEM

Выявление инцидентов ИБ в реальном времени

PT Threat Analyzer

Программная платформа для накопления и использования знаний об угрозах информационной безопасности

PT ISIM

Управление инцидентами кибербезопасности АСУ ТП

MaxPatrol O2

Обнаружит и обезвредит. Знает, как действует хакер, предотвращает недопустимое событие.

PT MultiScanner

Многоуровневая защита от вредоносного ПО

ПТ Ведомственный центр

Управление инцидентами и взаимодействие с ГосСОПКА

MaxPatrol EDR

Защитит конечные точки от сложных и целевых атак во всех популярных ОС, включая российские.

MaxPatrol SIEM All-in-One

Полноценный SIEM для небольших инфраструктур

MaxPatrol VM

Система нового поколения для управления уязвимостями

PT Network Attack Discovery

Система анализа трафика (NTA) для выявления атак

PT Application Firewall

Защита приложений от веб-атак

PT Application Inspector

Анализатор защищенности приложений

PT BlackBox

Динамический анализатор приложений

PT Platform 187

Реализация основных требований 187-ФЗ для небольших инфраструктур

XSpider

Сканер уязвимостей

PT Sandbox

Первая песочница, которая защищает именно вашу инфраструктуру

PT Threat Intelligence Feeds

Потоки данных (фиды), собранные экспертами Positive Technologies для обнаружения угроз

PT Container Security

Высокотехнологичное, инновационное решение для комплексной защиты инфраструктуры гибридного облака. Обеспечивает безопасность разработки программных систем, использующих механизмы контейнерной виртуализации.

Непрерывный анализ защищенности бизнеса

Услуги Positive Technologies по анализу защищенности бизнеса от киберугроз позволят непрерывно выявлять реальные векторы атак на вашу компанию и совершенствовать стратегию реагирования на инциденты

Услуги PT Expert Security Center

Экспертный центр безопасности Positive Technologies предоставляет услуги по обнаружению, реагированию и расследованию сложных инцидентов, а также по мониторингу защищенности корпоративных систем

Исследование угроз и уязвимостей аппаратных решений

Выявление аппаратных уязвимостей и закладок – один из самых сложных элементов в реализации зрелой стратегии безопасности. Эксперты Positive Technologies готовы оказать всестороннюю помощь в этом вопросе.

Техническая поддержка

Сделайте использование продуктов Positive Technologies еще более эффективным и приятным с расширенной технической поддержкой. Наши специалисты могут самостоятельно провести установку и настройку продуктов, оценить эффективность работы и в кратчайшие сроки разобраться с любым обращением от клиентов.

Главная
Исследования
Уязвимости и угрозы
PT-2014-72: Две уязвимости межсайтовое выполнение сценариев в Jahia CMS

PT-2014-72: Две уязвимости межсайтовое выполнение сценариев в Jahia CMS

Уязвимое ПО

Jahia CMS

Версия: 6.6.2.4 и более ранняя

Ссылка:
http://www.jahia.com/

Рейтинг опасности

Уровень опасности: Средний
Воздействие: Межсайтовое выполнение сценариев
Вектор атаки: Удаленный

CVSS v2:
Base Score: 4.3
Vector: (AV:N/AC:M/Au:N/C:N/I:P/A:N)

CVE: отсутствует

Описание программы

Jahia CMS – система управления веб-проектами

Описание уязвимости

Специалисты Исследовательского центра Positive Research компании Positive Technologies обнаружили две уязвимости "Межсайтовое выполнение сценариев" в Jahia CMS.

Две уязвимости "Отраженное межсайтовое выполнение сценариев" на странице group_copy.jsp позволяет злоумышленникам, действующим удаленно, внедрить в страницу, обрабатываемую браузером пользователя, произвольные HTML-теги, включая сценарии на языке JavaScript и др.

Решение

Установите последнюю версию приложения

Статус уведомления

19.12.2013 - Производителю отправлены детали уязвимостей
30.04.2014 - Производитель выпустил исправление
26.12.2014 - Публикация уязвимости

Благодарности

Уязвимости были обнаружены с помощью системы анализа исходных кодов Positive Technologies Application Inspector

Ссылки

http://www.securitylab.ru/lab/PT-2014-72

Список отчетов о ранее обнаруженных уязвимостях Positive Research:

http://www.ptsecurity.ru/lab/advisory/
http://www.securitylab.ru/lab/

Уязвимости

20 марта 2023 PT-2022-05: Возможность выполнения Stored XSS авторизованным злоумышленником Средний – (5,0)
20 марта 2023 PT-2022-04: Возможность выполнения CSTI авторизованным злоумышленником Средний – (5,0)
20 марта 2023 PT-2022-03: Возможность выполнения Stored XSS авторизованным злоумышленником Средний – (5,0)