CH azonosító
CH-5014Angol cím
Multi-Tech MultiModem iSMS Script Insertion VulnerabilitiesFelfedezés dátuma
2011.06.07.Súlyosság
AlacsonyÖsszefoglaló
A Multi-Tech MultiModem iSMS olyan sérülékenységei váltak ismertté, amelyeket a rosszindulatú felhasználók és a támadók kihasználhatnak script beszúrás támadások kezdeményezésére.
Leírás
- A login űrlapnak a felhasználónév mezővel átadott bemenete nem kerül megfelelően ellenőrzésre, mielőtt a felhasználó részére megjelenítésre kerülne. Ez kihasználható tetszőleges HTML és script kód beszúrására, amely az érintett oldal felhasználói böngésző munkamenetében kerül lefuttatásra, amikor az adminisztrátor megtekinti a logokat.
- Az SMS szöveges üzenetekkel átadott bemenet nem kerül megfelelően ellenőrzésre, mielőtt a felhasználó részére megjelenítésre kerülne. Ez kihasználható tetszőleges HTML és script kód beszúrására, amely az érintett oldal felhasználói böngésző munkamenetében kerül lefuttatásra, amikor az adminisztrátor megtekinti a logokat.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
SECUNIA 44831
Egyéb referencia: www.securitypentest.com