BarracudaDrive cross-site scripting sérülékenységek

CH azonosító

CH-10785

Angol cím

BarracudaDrive Multiple Cross-Site Scripting Vulnerabilities

Felfedezés dátuma

2014.03.20.

Súlyosság

Alacsony

Érintett rendszerek

Barracuda Networks

Érintett verziók

BarracudaDrive 6.x

Összefoglaló

A BarracudaDrive több sérülékenysége vált ismertté, amelyeket kihasználva a támadók conduct cross-site scripting támadásokat hajthatnak végre.

Leírás

 

  1. Több scriptnek, több paraméteren keresztül átadott bemeneti érték nincs megfelelően megtisztítva, mielőtt a felhasználó számára visszaadásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatban.
    Az érintett script-ek és paraméterek listája:
    http://[host]/Forum/manage/ForumManager.lsp?sForumName&sDescription (POST)
    http://[host]/Forum/manage/hangman.lsp?sHint&sWord (POST)
    http://[host]/Forum/manage/hangman.lsp?nId
    http://[host]/rtl/protected/admin/wizard/setuser.lsp?user (POST)
    http://[host]/feedback.lsp?email&name (POST)
    http://[host]/private/manage/PageManager.lsp?lname&url (POST)
    http://[host]/rtl/protected/mail/manage/list.lsp?newname&description&firstname&lastname&id (POST)
  2. Az URL-ben az /fs/ mögé helyezett bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználó számára visszaadásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatban.

 

A sérülékenységeket a 6.6 verzióban jelentették, de más kiadások is érintettek lehetnek.

Megoldás

Frissítsen a legújabb verzióra