RSA Authentication Manager sérülékenységek


2012. július 16. 07:27

CH azonosító

CH-7205

Angol cím

RSA Authentication Manager Weakness and Multiple Vulnerabilities

Felfedezés dátuma

2012.07.13.

Súlyosság

Alacsony

Érintett rendszerek

Authentication Manager
RSA
SecurID Appliance

Érintett verziók

RSA Authentication Manager 7.x
RSA SecurID Appliance 3.x

Összefoglaló

Az RSA Authentication Manager számos sérülékenységét jelentették, amelyek közül egy ismeretlen hatással rendelkezik, míg a többi sérülékenységet kihasználva a támadók cross-site scripting (XSS/CSS) és hamisításos (spoofing) támadásokat okozhatnak.

Leírás

  1. A RSA Security Console-on keresztül átadott bizonyos bemeneti adatok nincsenek megfelelően ellenőrizve mielőtt azok az átirányított felhasználók által felhasználásra kerülnének. Ezt kihasználva a felhasználót tetszőleges oldalra irányíthatják át, például speciálisan megszerkesztett link segítségével, amely meghívja az érintett script kódot egy megbízható domain meglátogatása során.
  2. Az RSA Self-Service and Security Console-okon keresztül átadott bizonyos bemeneti adatok nincsenek megfelelően ellenőrizve a felhasználónak történő visszaküldés előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatban.
  3. Egy nem részletezett sérülékenység köthető a frame-ekhez, amelyről egyelőre nincs részletesebb információ.

A sérülékenységeket az RSA Authentication Manager 7.1-es és az RSA SecurID Appliance 3.0-ás verzióiban jelentették.

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Input manipulation (Bemenet módosítás)
Unspecified (Nem részletezett)

Hatás

Unknown (Ismeretlen)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

SECUNIA 49927
CVE-2012-2278 - NVD CVE-2012-2278
CVE-2012-2279 - NVD CVE-2012-2279
CVE-2012-2280 - NVD CVE-2012-2280
Gyártói referencia: archives.neohapsis.com

Legfrissebb sérülékenységek
CVE-2025-40602 – SonicWall SMA1000 Missing Authorization sérülékenysége
CVE-2025-59374 – ASUS Live Update Embedded Malicious Code sérülékenysége
CVE-2025-20393 – Cisco Multiple Products Improper Input Validation sérülékenysége
CVE-2025-58360 – OSGeo GeoServer Improper Restriction of XML External Entity Reference sérülékenysége
CVE-2018-4063 – Sierra Wireless AirLink ALEOS Unrestricted Upload of File with Dangerous Type sérülékenysége
CVE-2025-14174 – Google Chromium Out of Bounds Memory Access sérülékenysége
CVE-2025-14611 – Gladinet CentreStack and Triofox Hard Coded Cryptographic sérülékenysége
CVE-2025-43529 – Apple Multiple Products Use-After-Free WebKit sérülékenysége
CVE-2025-21621 – GeoServer Reflected Cross-Site Scripting (XSS) sérülékenység
CVE-2025-64471 – Fortinet FortiWeb sérülékenysége
Tovább a sérülékenységekhez »