Check Point UTM-1 Edge / Safe@Office WebUI sérülékenységek

CH azonosító

CH-5815

Angol cím

Check Point UTM-1 Edge / Safe@Office WebUI Multiple Vulnerabilities

Felfedezés dátuma

2011.10.20.

Súlyosság

Alacsony

Érintett rendszerek

Check Point
Safe@Office Appliances
VPN-1 UTM Edge

Érintett verziók

Check Point Safe@Office Appliances
Check Point VPN-1 UTM Edge

Összefoglaló

A Check Point UTM-1 Edge és a Safe@Office több sérülékenységét is jelentették, amelyeket a támadók kihasználhatnak cross-site scripting (XSS/CSS), kérés hamisítás és spoofing támadásokra vagy érzékeny információk megszerzésére.

Leírás

  1. A WebUI részére átadott egyes bemeneti adatok ellenőrzése nem megfelelő, mielőtt visszaadnák azt a felhasználónak. Ez kihasználható tetszőleges HTML és script kód lefuttatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
  2. A WebUI lehetővé teszi, hogy a felhasználók bizonyos műveleteket hajtsanak végre HTTP kéréseken keresztül, a kérések érvényességének ellenőrzése nélkül. Ez kihasználható bizonyos, részletesen nem ismertetett műveletek végrehajtására, ha a felhasználó ellátogat a speciálisan erre a célra készített web oldalra.
  3. A WebUI részére átadott bizonyos, részletesen nem ismertetett bemeneti adatok nincsenek megfelelően ellenőrizve, mielőtt a felhasználók átirányításához felhasználnák azokat. Ez kihasználható a felhasználók tetszőleges weboldalra történő átirányításra, például ha a felhasználó rákattint a speciálisan elkészített linkre, ahol az érintett script a megbízható domain-en van host-olva.
  4. A WebUI nem részletezett hibája kihasználható érzékeny információk felfedésére.

A sérülékenységeket a 8.2.44 verziót megelőzőekben jelentették.

Megoldás

Frissítsen a legújabb verzióra