Microsoft ISA Server és Forefront Threat Management Gateway sérülékenységek

CH azonosító

CH-2134

Felfedezés dátuma

2009.04.14.

Súlyosság

Magas

Érintett rendszerek

Forefront TMG MBE
ISA Server
Microsoft

Érintett verziók

Microsoft Forefront TMG MBE
Microsoft ISA Server 2004
Microsoft ISA Server 2006

Összefoglaló

Két sérülékenységet jelentettek a Microsoft ISA Serverben és Forefront Threat Management Gateway MBE-ben, amelyet támadók kihasználhatnak szolgáltatás megtagadásos (DoS) vagy cross-site scripting támadások lefolytatására.

Leírás

Két sérülékenységet jelentettek a Microsoft ISA Serverben és Forefront Threat Management Gateway MBE-ben, amelyet támadók kihasználhatnak szolgáltatás megtagadásos (DoS) vagy cross-site scripting támadások lefolytatására.

  1. A tűzfal motor egy hibáját, a Web proxy és a Web publishing komponens TCP munkamenet állapotának kezelésekor, kihasználva egy speciálisan elkészített TCP csomag segítségével megakadályozható, hogy a Web figyelő új kérésekre reagáljon.
  2. A HTML űrlap hitelesítési komponensének (cookieauth.dll) átadott bemenet, nincs megfelelően megtisztítva használat előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.

A sebezhetőség sikeres kiaknázáshoz a Webes közzétételnek engedélyezve kell lennie és az alapértelmezett Web figyelőn engedélyezve kell lennie a HTML űrlapos hitelesítésnek.

Megoldás

Telepítse a javítócsomagokat

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-2704 – OpenVPN sebezhetősége
CVE-2025-22457 – Ivanti Connect Secure, Policy Secure and ZTA Gateways Stack-Based Buffer Overflow sebezhetősége
CVE-2025-24228 – Apple sebezhetősége
CVE-2025-24097 – Apple sebezhetősége
CVE-2024-20440 – Cisco Smart Licensing Utility sebezhezősége
CVE-2025-1268 – Canon sebezhetősége
CVE-2025-2783 – Google Chromium Mojo Sandbox Escape sebezhetősége
CVE-2024-20439 – Cisco Smart Licensing Utility Static Credential sebezhetősége
CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége
Tovább a sérülékenységekhez »