Összefoglaló
Két sérülékenységet jelentettek a McAfee Network Security Manager szoftverben, amelyet a rosszindulatú támadók kihasználhatnak cross-site scripting támadások lefolytatásához.
Leírás
Két sérülékenységet jelentettek a McAfee Network Security Manager szoftverben, amelyet a rosszindulatú támadók kihasználhatnak cross-site scripting támadások lefolytatásához.
A Login.jsp “node” és “iaction” paramétereinek átadott bemenet nincs megfelelően megtisztítva, mielőtt visszakerülne a felhasználóhoz. Ez kihasználható tetszőleges HTML és szkript kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatban.
MegjegyzésS: A HttpOnly használatának hiányát a generált munkamenet sütikben szintén jelentették.
A sérülékenységeket az 5.1.7.7. verzióban jelentették. Az 5.1.11.6. verziónál korábbi kiadások is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Hijacking (Visszaélés)Input manipulation (Bemenet módosítás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: kc.mcafee.com
Gyártói referencia: kc.mcafee.com
CVE-2009-3566 - NVD CVE-2009-3566
CVE-2009-3565 - NVD CVE-2009-3565
SECUNIA 37178
Egyéb referencia: www.secureworks.com
Egyéb referencia: www.secureworks.com