One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8327446 |
| Date de publication | 2023-04-13 11:15:06 (vue: 2023-04-13 13:08:19) |
| Titre | CVE-2022-45064 |
| Texte | Le SlingRequestDispatcher n'implémente pas correctement l'API RequestDispatcher résultant en un type générique de problèmes de script inter-sites incluent au niveau de l'élingue Apache.La vulnérabilité est exploitable par un attaquant qui est capable d'inclure une ressource avec un type de contenu spécifique et de contrôler le chemin d'inclusion (c'est-à-dire la rédaction de contenu).L'impact d'une attaque réussie est l'escalade des privilèges au pouvoir administratif.
Veuillez mettre à jour le moteur Apache Sling> = 2.14.0 et activer l'option de configuration "Vérifier le contenu-type".
The SlingRequestDispatcher doesn\'t correctly implement the RequestDispatcher API resulting in a generic type of include-based cross-site scripting issues on the Apache Sling level. The vulnerability is exploitable by an attacker that is able to include a resource with specific content-type and control the include path (i.e. writing content). The impact of a successful attack is privilege escalation to administrative power. Please update to Apache Sling Engine >= 2.14.0 and enable the "Check Content-Type overrides" configuration option. |
| Notes | |
| Envoyé | Oui |
| Condensat | 2022 45064 able administrative apache api attack attacker based check configuration content control correctly cross cve doesn enable engine escalation exploitable generic impact implement include issues level option overrides path please power privilege requestdispatcher resource resulting scripting site sling slingrequestdispatcher specific successful type update vulnerability writing |
| Tags | Vulnerability |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.