漏洞起因
设计错误
危险等级
低
影响系统
Google App Engine 1.0
不受影响系统
Google App Engine 1.5
危害
远程攻击者可以利用漏洞以登录用户上下文执行任意Python代码。
攻击所需条件
攻击者必须构建恶意链接,诱使用户解析。
漏洞信息
Google App Engine是Google提供的基于Google数据中心的开发、托管网络应用程序的平台。
Google App Engine SDK for Python存在安全漏洞,允许恶意用户进行跨站请求伪造攻击。
应用程序允许用户通过HTTP请求执行某些操作而没有进行任何身份检查,攻击者构建恶意链接,诱使登录用户点击,可执行任意Python代码。
测试方法
厂商解决方案
Google App Engine 1.5已经修复此漏洞,建议用户下载使用:
http://code.google.com/appengine/downloads.html
漏洞提供者
Adi Sharabani
0 条评论。