ServersCheck Monitoring sérülékenységek


2011. október 6. 07:25

CH azonosító

CH-5701

Angol cím

ServersCheck Monitoring Multiple Vulnerabilities

Felfedezés dátuma

2011.10.04.

Súlyosság

Alacsony

Érintett rendszerek

ServersCheck
ServersCheck Monitoring

Érintett verziók

ServersCheck Monitoring 8.x

Összefoglaló

A ServersCheck Monitoring több olyan sérülékenységét jelentették, amelyeket rosszindulatú felhasználók kihasználhatnak érzékeny információk felfedésére és script beszúrásos támadásokra, a támadók pedig cross-site scripting (CSS/XSS) és cross-site request forgery (CSRF/XSRF) támadásokat folytathatnak.

Leírás

  1. Az alkalmazás webes felülete lehetővé teszi, hogy a felhasználók bizonyos műveleteket a HTTP kérések érvényességének vizsgálata nélkül folytassanak le. Ez kihasználható például az adminisztrátori jelszavak megváltoztatására, valamint script beszúrásos (script insertion) támadások indítására, ha az adminisztrátorként bejelentkezett felhasználó ellátogat a káros weboldalra.
  2. A bulkedit.html “filterby” paraméterének, a checks2def.html “linenumber”, “id” és “check” paramétereinek, a viewalerts.html “fromdate” paraméterének, a downtime.html “label” és “labelvisible” paramétereinek, a timeline/timeline.html “xml” paraméterének, a devicegraphs.html “device” paraméterének, a viewgraphs.html “label” paraméterének, a timeline_generate.html “xml” paraméterének, a devicescan1.html “linenumber” paraméterének, a reporting2.html “ItemList” paraméterének, a bandwidthreporting2.html “reportname” paraméterének, a devicedetails.html “device” paraméterének és az smstest1.html “gsm” paraméterének átadott bemeneti adatok ellenőrzése nem megfelelő, mielőtt visszaadnák azokat a felhasználóknak. Ez kihasználható tetszőleges HTML és script kód lefuttatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
  3. A teamsedit.html “teamname” paraméterének, a usersedit.html “username” paraméterének, a windowsaccountsedit.html “accountdescription” és “windowsuser” paramétereinek, a msnsettings.html “account” paraméterének, az enterprisesettings2.html “newsetting0”, “newsetting1”, “newsetting2” és “newsetting3” paramétereinek, a checks3other.html “namevisible” paraméterének, az smssettings.html “body” paraméterének és az addwizard3.html “required_filename” paramétereinek átadott bemeneti adatok felhasználás előtti ellenőrzése nem megfelelő. Ez kihasználható tetszőleges HTML és script kód beszúrására, melyek lefuttatásra kerülnek a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan, a káros adatok megtekintésekor.
  4. Egyes, nem részletezett bemeneti adatok nincsenek megfelelően ellenőrizve, mielőtt felhasználnák őket fájlok letöltéséhez. Ez kihasználható helyi forrásból származó tetszőleges fájl letöltésére könyvtár bejárási (directory traversal) szekvenciákon keresztül.
  5. Bizonyos, részletesen nem ismertetett bemeneti adatok felhasználás előtti ellenőrzése nem megfelelő. Ez kihasználható tetszőleges HTML és script kód beszúrására, amelyek lefuttatásra kerülnek a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan, a káros adatok megtekintésekor.
  6. Bizonyos, nem részletezett bemeneti adatok az “SNMP TRAP Receiver Checks” létrehozáskor, felhasználás előtt nincsenek megfelelően ellenőrizve. Ez kihasználható tetszőleges HTML és script kód beszúrására, melyek lefuttatásra kerülnek a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan, a káros adatok megtekintésekor.

Megjegyzés:
Az 1-3. sérülékenységeket a 8.8.11 verzióban igazolták. Más verziók is érintettek lehetnek.
A 4-6. sérülékenységeket a 8.8.10 verzióban igazolták. Korábbi verziók is érintettek lehetnek.

Megoldás

  • Az 1-3. sérülékenységek esetén proxy használatával szűrje a káros karaktereket és karakter sorozatokat. Ne böngésszen megbízhatatlan weboldalakon és ne kövessen ilyen hivatkozásokat sem, ha az alkalmazásba bejelentkezett.
  • A 4-6. sérülékenységek a 8.8.11 verzióban javítva.

Támadás típusa

Input manipulation (Bemenet módosítás)
Other (Egyéb)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.serverscheck.com
Egyéb referencia: www.vulnerability-lab.com
SECUNIA 46150
SECUNIA 46281

Legfrissebb sérülékenységek
CVE-2026-0625 – D-Link DSL Command Injection via DNS Configuration Endpoint sérülékenység
CVE-2020-12812 – Fortinet FortiOS SSL VPN Improper Authentication sérülékenysége
CVE-2025-14733 – WatchGuard Firebox Out of Bounds Write sérülékenység
CVE-2023-52163 – Digiever DS-2105 Pro Missing Authorization sérülékenység
CVE-2025-14847 – MongoDB and MongoDB Server Improper Handling of Length Parameter Inconsistency sérülékenység
CVE-2025-40602 – SonicWall SMA1000 Missing Authorization sérülékenysége
CVE-2025-59374 – ASUS Live Update Embedded Malicious Code sérülékenysége
CVE-2025-20393 – Cisco Multiple Products Improper Input Validation sérülékenysége
CVE-2025-58360 – OSGeo GeoServer Improper Restriction of XML External Entity Reference sérülékenysége
CVE-2018-4063 – Sierra Wireless AirLink ALEOS Unrestricted Upload of File with Dangerous Type sérülékenysége
Tovább a sérülékenységekhez »