Vulnerabilidad en OpenX (CVE-2013-5954)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
25/04/2014
Última modificación:
12/04/2025
Descripción
Múltiples vulnerabilidades de CSRF en OpenX 2.8.11 y anteriores permiten a atacantes remotos secuestrar la autenticación de administradores para solicitudes que eliminan (1) usuarios a través de admin/agency-user-unlink.php, (2) anunciantes a través de admin/advertiser-delete.php, (3) banners a través de admin/banner-delete.php, (4) campañas a través de admin/campaign-delete.php, (5) canales a través de admin/channel-delete.php, (6) sitios web afiliados a través de admin/affiliate-delete.php o (7) zonas a través de admin/zone-delete.php.
Impacto
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:revive-adserver:revive_adserver:*:*:*:*:*:*:*:* | 3.0.4 (incluyendo) | |
| cpe:2.3:a:openx:openx:*:*:*:*:*:*:*:* | 2.8.11 (incluyendo) | |
| cpe:2.3:a:openx:openx:2.8:*:*:*:*:*:*:* | ||
| cpe:2.3:a:openx:openx:2.8.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:openx:openx:2.8.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:openx:openx:2.8.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:openx:openx:2.8.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:openx:openx:2.8.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:openx:openx:2.8.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:openx:openx:2.8.7:*:*:*:*:*:*:* | ||
| cpe:2.3:a:openx:openx:2.8.8:*:*:*:*:*:*:* | ||
| cpe:2.3:a:openx:openx:2.8.9:*:*:*:*:*:*:* | ||
| cpe:2.3:a:openx:openx:2.8.10:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/125735
- http://seclists.org/fulldisclosure/2014/Mar/270
- http://seclists.org/fulldisclosure/2014/May/68
- http://www.revive-adserver.com/security/revive-sa-2014-001/
- http://www.securityfocus.com/archive/1/532108/100/0/threaded
- http://www.securityfocus.com/bid/66251
- https://exchange.xforce.ibmcloud.com/vulnerabilities/91889
- http://packetstormsecurity.com/files/125735
- http://seclists.org/fulldisclosure/2014/Mar/270
- http://seclists.org/fulldisclosure/2014/May/68
- http://www.revive-adserver.com/security/revive-sa-2014-001/
- http://www.securityfocus.com/archive/1/532108/100/0/threaded
- http://www.securityfocus.com/bid/66251
- https://exchange.xforce.ibmcloud.com/vulnerabilities/91889