Érintett rendszerek
F-SecurePolicy Manager
Érintett verziók
F-Secure Policy Manager 8.00, 8.10, 8.11
Összefoglaló
Az F-Secure Policy Manager olyan sérülékenysége vált ismertté, amelyet támadók
kihasználhatnak cross-site scripting támadások indítására.
Leírás
Az F-Secure Policy Manager olyan sérülékenysége vált ismertté, amelyet támadók
kihasználhatnak cross-site scripting támadások indítására.
Az “Expect:” fejléc részére átadott bemenet nincs megfelelően ellenőrizve mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
Sikeres kihasználáshoz a támadónak tetszőleges HTTP fejlécek küldésére kell képesnek lennie (pl. egy böngésző bővítményen keresztül, mint a Flash).
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2006-3918 - NVD CVE-2006-3918
SECUNIA 40256
SECUNIA 21172
Gyártói referencia: www.f-secure.com