F-Secure Policy Manager információ felfedés és cross-site scripting sérülékenységek

2011. február 25. 08:16

CH azonosító

CH-4440

Angol cím

F-Secure Policy Manager Web Reporting Path Disclosure and Cross-Site Scripting

Felfedezés dátuma

2011.02.23.

Súlyosság

Alacsony

Érintett rendszerek

F-Secure
Policy Manager

Érintett verziók

F-Secure Policy Manager 8.x, 9.x

Összefoglaló

A F-Secure Policy Manager több sérülékenységét jelentették, amiket kihasználva támadók bizalmas információkat szerezhetnek, valamint cross-site scripting (XSS/CSS) támadást indíthatnak.

Leírás

Egy sérülékenység forrása lehet az, hogy az alkalmazás kijelzi a teljes telepítési útvonalat egy hibajelentésben, amikor egy érvénytelen jelentéshez fér hozzá, pl. a report/infection-table.html vagy a report/productsummary-table.html fájlokon keresztül.
Az URL-en keresztül átadott adatok nincsenek megfelelően megtisztítva, mielőtt visszakerülnek a felhasználóhoz. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében, az érintett oldal vonatkozásában.

A sérülékenységeket a 9.00.30231., valamint a 8.00. és a 8.1x verziókban találták.

Legfrissebb sérülékenységek

CVE-2024-20295 – Cisco IMC sérülékenysége

CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége

CVE-2024-3566 – Windows CreateProcess sérülékenysége

CVE-2024-22423 – yt-dlp sérülékenysége

CVE-2024-1874 – PHP sérülékenysége

CVE-2024-24576 – Rust sérülékenysége

CVE-2023-45590 – Fortinet FortiClientLinux sérülékenysége

CVE-2024-29988 – Microsoft Windows SmartScreen sérülékenysége

CVE-2024-26234 – Microsoft Windows proxy driver sérülékenysége

CVE-2023-6320 – LG webOS sérülékenysége

Tovább a sérülékenységekhez »

F-Secure Policy Manager információ felfedés és cross-site scripting sérülékenységek