CH azonosító
CH-6143Angol cím
SafeNet Sentinel HASP Admin Control Center Script Insertion WeaknessFelfedezés dátuma
2011.12.21.Súlyosság
KritikusÉrintett rendszerek
7-TechnologiesIGSS - Interactive Graphical SCADA System
SafeNet
Sentinel HASP
Érintett verziók
SafeNet Sentinel HASP 5.x
7-Technologies IGSS 7.x
Összefoglaló
A SafeNet Sentinel HASP sérülékenysége vált ismertté, amelyet kihasználva a rosszindulatú felhasználók script beszúrásos támadásokat hajthatnak végre.
Leírás
A Sentinel HASP Admin Control Center-nek, nem részletezett bemeneti paraméterekkel átadott érték nincs megfelelően megtisztítva, mielőtt felhasználásra kerülne. Ez kihasználható tetszőleges HTML és script kód beszúrására, ami a felhasználó böngésző munkamenetében fog lefutni az érintett oldallal kapcsolatban, a káros tartalom megtekintésekor.
A sérülékenység sikeres kihasználásához szükséges, hogy a felhasználó Mozilla Firefox 2.0-val nézi meg a befecskendezett adatot.
A sérülékenység az 5.95. és azt megelőző verziókat érinti.
Megjegyzés: A sebezhetőség a 7-Technologies IGSS 7.x-et is érinti, mivel az a Sentinel HASP SDK-t használja.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Gyártói referencia: www.safenet-inc.com
Egyéb referencia: www.us-cert.gov
CVE-2011-3339 - NVD CVE-2011-3339
SECUNIA 47349