CH azonosító
CH-7311Angol cím
Dr.Web Enterprise Server Web-administrator Script Injection VulnerabilityFelfedezés dátuma
2012.07.31.Súlyosság
AlacsonyÉrintett rendszerek
Doctor WebEnterprise Security Suite
Érintett verziók
Dr.Web Enterprise Security Suite 6.x
Összefoglaló
A Dr.Web Enterprise Server egy sérülékenységét jelentették, amelyet kihasználva a támadók script beszúrásos (script insertion) támadást indíthatnak.
Leírás
A Web-administrator komponens bejelentkező oldalán a “username” által átadott bemeneti adat nincs megfelelően megtisztítva felhasználás előtt. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
A sérülékenység kihasználásának feltétele az “Audit operations” beállítás engedélyezése az Enterprise Server konfigurációban.
A sérülékenységet a 6.x verziókban jelentették.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Gyártói referencia: news.drweb.com
Egyéb referencia: www.oliverkarow.de
SECUNIA 50082
