RSA Authentication Manager XSS sérülékenysége


2018. június 19. 10:38

CH azonosító

CH-14452

Angol cím

RSA Authentication Manager Input Validation Flaws Let Remote Users Conduct Cross-Site Scripting Attacks

Felfedezés dátuma

2018.06.14.

Súlyosság

Közepes

Érintett rendszerek

Authentication Manager
RSA

Érintett verziók

RSA Authentication Manager 8.3 P1 előtti verziók.

Összefoglaló

Az RSA Authentication Manager sérülékenységei váltak ismertté, amelyeket kihasználva a támadók cross-site scripting(XSS) támadásokat hajthatnak végre.

Leírás

A sérülékenység oka, hogy az Operations Console és a Security Console nem megfelelően ellenőrzi a HTML kódot a felhasználó által megadott bemeneten. A távoli felhasználó speciálisan szerkesztett kódot futtathat a felhasználó böngészőjében. A kód az RSA Authentication Manager szoftvert futtató webhely segítségével, annak jogosultságaival fog futni az Operations Console és a Security Console környezetben. A támadó hozzáférhet a felhasználó hitelesítési sütijeihez, és a felhasználó nevében különböző műveleteket hajthat végre.

Hatás

Loss of integrity (Sértetlenség elvesztése)

Hivatkozások

Egyéb referencia: securitytracker.com
CVE-2018-1253 - NVD CVE-2018-1253
CVE-2018-1254 - NVD CVE-2018-1254

Legfrissebb sérülékenységek
CVE-2026-33825 – Microsoft Defender Elevation of Privilege sérülékenység
CVE-2019-11510 – Ivanti Pulse Connect Secure Arbitrary File Read sérülékenység
CVE-2018-8453 – Microsoft Win32k Privilege Escalation sérülékenység
CVE-2019-0708 – Microsoft Remote Desktop Services Remote Code Execution sérülékenység
CVE-2022-22965 – Spring Framework JDK 9+ Remote Code Execution sérülékenység
CVE-2026-32201 – Microsoft SharePoint Server Improper Input Validation sérülékenység
CVE-2009-0238 – Microsoft Office Remote Code Execution sérülékenység
CVE-2026-34621 – Adobe Acrobat and Reader Prototype Pollution sebezhetőség
CVE-2020-9715 – Adobe Acrobat Use-After-Free sebezhetőség
CVE-2023-36424 – Microsoft Windows Out-of-Bounds Read sérülékenység
Tovább a sérülékenységekhez »