CH azonosító
CH-5929Angol cím
Dell KACE K2000 System Deployment Appliance Security Bypass and Cross-Site ScriptingFelfedezés dátuma
2011.11.08.Súlyosság
KözepesÉrintett rendszerek
DellKACE K2000 System Deployment Appliance
Érintett verziók
Dell KACE K2000 System Deployment Appliance
Összefoglaló
A Dell KACE K2000 System Deployment Appliance olyan sérülékenységei váltak ismertté, ammelyeket a támadók kihasználhatnak bizonyos biztonsági korlátozások megkerülésére és cross-site scripting (XSS/CSS) támadások kezdeményezésére.
Leírás
- A készülék tartalmaz egy rejtett, visszaállítás céljára létrehozott fiókot, amelyet kihasználva hozzá lehet férni a webes adminisztrációhoz felülethez.
- Bizonyos nem részletezett bemenet nem kerül megfelelően ellenőrzésre, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására, amely az érintett oldal felhasználói böngésző munkamenetében kerül lefuttatásra.
Megoldás
Korlátozza a hozzáférést a megbízható hostokra! Szűrje a rosszindulatú karaktereket és karakter sorozatokat proxy segítségével!
Támadás típusa
Authentication Issues (Hitelesítés)Input manipulation (Bemenet módosítás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Gyártói referencia: www.kace.com
Egyéb referencia: www.kb.cert.org
Egyéb referencia: www.kb.cert.org
SECUNIA 46796
CVE-2011-4046 - NVD CVE-2011-4046