Microsoft Forefront Unified Access Gateway sérülékenységek

CH azonosító

CH-5737

Angol cím

Microsoft Forefront Unified Access Gateway Multiple vulnerabilities

Felfedezés dátuma

2011.10.11.

Súlyosság

Magas

Érintett rendszerek

Forefront Unified Access Gateway
Microsoft

Érintett verziók

Microsoft Forefront Unified Access Gateway (UAG) 2010

Összefoglaló

A Microsoft Forefront Unified Access Gateway olyan sérülékenységei váltak ismertté, amelyeket a támadók kihasználhatnak cross-site scripting (CSS/XSS) és HTTP response splitting támadások kezdeményezésére, szolgáltatás megtagadás (DoS – Denial of Service) okozására és a felhasználó rendszerének a feltörésére.

Leírás

  1. Bizonyos, ExcelTables-szel kapcsolatos, nem részletezett bemenet nincs megfelelően ellenőrizve, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTTP fejlécek beszúrására, amelyeket a felhasználónak küldött HTTP válasz is tartalmazni fog.
  2. Bizonyos, ExcelTables-szel kapcsolatos, nem részletezett bemenet nincs megfelelően ellenőrizve, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására az érintett oldal felhasználói böngésző munkamenetében.
  3. Bizonyos nem részletezett bemenet nincs megfelelően ellenőrizve, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására az érintett oldal felhasználói böngésző munkamenetében.
  4. Egy hiba található a MicrosoftClient.jar Java kisalkalmazásban, amelyet kihasználva a kliens rendszerekre rosszindulatú JAR fájlok tölthetők le és telepíthetők. A sérülékenység sikeres kihasználása tetszőleges kód futtatását teszi lehetővé az átjárót használó kliensen.
  5.  A munkamenet sütik kezelésekor jelentkező hiba egy NULL értékkel kihasználható az IIS worker folyamat megállítására és a Web szolgáltatások megszakítására.

Megoldás

Telepítse a javítócsomagokat

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2010-3765 – Mozilla Multiple Products RCE sérülékenysége
CVE-2013-3918 – Microsoft Windows Out-of-Bounds Write sérülékenysége
CVE-2025-27915 – Synacor Zimbra Collaboration Suite (ZCS) Cross-site Scripting sérülékenysége
CVE-2010-3962 – Microsoft Internet Explorer Uninitialized Memory Corruption sérülékenysége
CVE-2021-22555 – Linux Kernel Heap Out-of-Bounds Write sérülékenysége
CVE-2025-4008 – Smartbedded Meteobridge Command Injection sérülékenysége
CVE-2015-7755 – Juniper ScreenOS Improper Authentication sérülékenysége
CVE-2017-1000353 – Jenkins RCE sérülékenysége
CVE-2014-6278 – GNU Bash OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »