Összefoglaló
A Sophos UTM egy XSS-alapú támadásokra lehetőséget adó hibát tartalmaz. A sebezhetőség adatlopáshoz, adatmanipulációhoz is hozzájárulhat.
Leírás
A biztonsági rést az okozza, hogy a lang paraméter nem minden esetben kerül megfelelő módon ellenőrzésre. Ezért tetszőleges HTML és script kódokkal történő visszaélésekre adhat módot. A hiba akár authentikációs cookie-kal való visszaélésekhez is vezethet.
Megoldás
A Sophos által kiadott patch (9.353) telepítése.
Támadás típusa
Hijacking (Visszaélés)Information disclosure (Információ/adat szivárgás)
Manipulation of data
System access (Rendszer hozzáférés)
execute code
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.halock.com
CVE-2016-2046 - NVD CVE-2016-2046
Egyéb referencia: isbk.hu