ManageEngine Applications Manager “query” cross-site scripting sérülékenysége | Nemzeti Kibervédelmi Intézet

NBSZ-NKI website

ManageEngine Applications Manager “query” cross-site scripting sérülékenysége

2008. március 29. 23:00

CH azonosító

CH-1113

Felfedezés dátuma

2008.03.29.

Súlyosság

Érintett rendszerek

AdventNet
ManageEngine Applications Manager

Érintett verziók

AdventNet ManageEngine Applications Manager 8.x

Összefoglaló

A ManageEngine Applications Manager sérülékenységét jelentették, melyet rosszindulatú támadók cross-site scripting támadásra használhatnak.

Leírás

A ManageEngine Applications Manager sérülékenységét jelentették, melyet rosszindulatú támadók cross-site scripting támadásra használhatnak.

A “query” paraméternek átadott bemenet a Search.do-ban nincs megfelelően megtisztítva, mielőtt visszakerülne a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód végrehajtására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.

Megoldás

Szűrje a rosszindulatú karaktereket és karakterláncokat proxy segítségével!

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Legfrissebb sérülékenységek

CVE-2024-8396 – deepjavalibrary/djl sérülékenysége

CVE-2024-7010 – mudler/localai sérülékenysége

CVE-2024-5982 – gaizhenbiao/chuanhuchatgpt sérülékenysége

CVE-2024-7475 – lunary-ai/lunary sérülékenysége

CVE-2024-7474 – lunary-ai/lunary sérülékenysége

CVE-2024-7473 – lunary-ai/lunary sérülékenysége

CVE-2024-6983 – mudler/localai sérülékenysége

CVE-2024-20481 – Cisco ASA és FTD sérülékenysége

CVE-2024-47575 – Fortinet FortiManager sérülékenysége

CVE-2024-9537 – ScienceLogic SL1 sérülékenysége

Tovább a sérülékenységekhez »

Ugrás a tetejére