CH azonosító
CH-4440Angol cím
F-Secure Policy Manager Web Reporting Path Disclosure and Cross-Site ScriptingFelfedezés dátuma
2011.02.23.Súlyosság
AlacsonyÖsszefoglaló
A F-Secure Policy Manager több sérülékenységét jelentették, amiket kihasználva támadók bizalmas információkat szerezhetnek, valamint cross-site scripting (XSS/CSS) támadást indíthatnak.
Leírás
- Egy sérülékenység forrása lehet az, hogy az alkalmazás kijelzi a teljes telepítési útvonalat egy hibajelentésben, amikor egy érvénytelen jelentéshez fér hozzá, pl. a report/infection-table.html vagy a report/productsummary-table.html fájlokon keresztül.
- Az URL-en keresztül átadott adatok nincsenek megfelelően megtisztítva, mielőtt visszakerülnek a felhasználóhoz. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében, az érintett oldal vonatkozásában.
A sérülékenységeket a 9.00.30231., valamint a 8.00. és a 8.1x verziókban találták.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Information disclosure (Információ/adat szivárgás)Input manipulation (Bemenet módosítás)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.f-secure.com
SECUNIA 43049