RSA Authentication Manager XSS sérülékenysége

CH azonosító

CH-14452

Angol cím

RSA Authentication Manager Input Validation Flaws Let Remote Users Conduct Cross-Site Scripting Attacks

Felfedezés dátuma

2018.06.14.

Súlyosság

Közepes

Érintett rendszerek

Authentication Manager
RSA

Érintett verziók

RSA Authentication Manager 8.3 P1 előtti verziók.

Összefoglaló

Az RSA Authentication Manager sérülékenységei váltak ismertté, amelyeket kihasználva a támadók cross-site scripting(XSS) támadásokat hajthatnak végre.

Leírás

A sérülékenység oka, hogy az Operations Console és a Security Console nem megfelelően ellenőrzi a HTML kódot a felhasználó által megadott bemeneten. A távoli felhasználó speciálisan szerkesztett kódot futtathat a felhasználó böngészőjében. A kód az RSA Authentication Manager szoftvert futtató webhely segítségével, annak jogosultságaival fog futni az Operations Console és a Security Console környezetben. A támadó hozzáférhet a felhasználó hitelesítési sütijeihez, és a felhasználó nevében különböző műveleteket hajthat végre.

Megoldás

Frissítsen a legújabb verzióra