CH azonosító
CH-6655Angol cím
Juniper IVE OS Network Connect/Pulse Cross-Site Scripting VulnerabilityFelfedezés dátuma
2012.04.04.Súlyosság
AlacsonyÉrintett rendszerek
IVE OS SoftwareJuniper Networks
Secure Access 2000
Secure Access 4000
Secure Access 6000
Érintett verziók
Juniper IVE OS Software 7.x
Juniper IVE OS Software 6.x
Juniper Networks Secure Access 2000
Juniper Networks Secure Access 4000 (NetScreen-SA 3000 Series)
Juniper Networks Secure Access 6000 (NetScreen-SA 5000 Series)
Összefoglaló
A Juniper IVE OS sérülékenységét jelentették, amelyet kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat hajthatnak végre.
Leírás
Bizonyos, az SSL VPN szerverbeli Network Connect (NC)/Pulse funkciónak átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználó számára visszaadásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatban.
A sérülékenység a 6.X, illetve a 7.0R9 és 7.1R6 előtti verziókat érinti.
Megoldás
Frissítsen, illetve upgrade-eljen a 7.0R9 vagy 7.1R6 verzióra.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.juniper.net
SECUNIA 48718
SECUNIA 48720