CH azonosító
CH-13825Angol cím
F5 BIG-IP and Enterprise Manager vulnerabilitiesFelfedezés dátuma
2017.01.08.Súlyosság
KözepesÉrintett rendszerek
BIG-IPEnterprise Manager
F5 Networks
Érintett verziók
Az érintett verziók listája a gyártó honlapján érhető el (https://support.f5.com/csp/#/article/K97285349).
Összefoglaló
Az F5 BIG-IP és Enterprise Manager közepes kockázati besorolású sérülékenysége vált ismertté, melyet kihasználva a támadó Cross-Site Scripting (XSS) támadást indíthat. A sérülékenységet kiküszöbölő megoldás már beszerezhető a gyártótól.
Leírás
A program helytelenül szűri a beküldött HTML kódot, mielőtt megjeleníti azt. A támadó ezt a sérülékenységet kihasználva tetszőleges kódot futtathat a célpont böngészőjében az F5 BIG-IP program biztonsági beállításaival megegyező jogosultságokkal. Ennek eredményeképp a támadó megszerezheti a célpont sütijeit (a belépésre jogosítókat is), és ezzel a célpont nevében tevékenykedhet.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Cross Site Scripting (XSS/CSS)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.securitytracker.com
Gyártói referencia: www.securitytracker.com
Gyártói referencia: support.f5.com
CVE-2016-7469 - NVD CVE-2016-7469