Sophos Web Appliance sérülékenységek

CH azonosító

CH-8845

Angol cím

Sophos Web Appliance Multiple Vulnerabilities

Felfedezés dátuma

2013.04.02.

Súlyosság

Közepes

Érintett rendszerek

Sophos
Web Appliance

Érintett verziók

Sophos Web Appliance 3.x

Összefoglaló

A Sophos Web Appliance olyan sérülékenységeit jelentették, amelyeket  kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat hajthatnak végre, bizalmas információkat szerezhetnek, valamint feltörhetik a sérülékeny rendszert.

Leírás

  1. Az alkalmazás korlátlan hozzáférést biztosít a cgi-bin/patience.cgi szkripthez, amelyet kihasználva tetszőleges fájlok olvashatóak be könyvtár bejárásos támadással.
  2. A “Diagnostic Tools” funkció egy nem részletezett hibája kihasználható tetszőleges parancsok befecskendezésére és futtatására a “spiderman” nevű felhasználó jogosultságaival.
  3. Különböző paramétereken és szkripteken keresztül átadott bemeneti adatok nincsenek megfelelően megtisztítva, mielőtt a felhasználónak visszaadásra kerülnének. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében, az érintett oldal vonatkozásában. Az érintett szkriptek és paraméterek listája:
    hxxps://site/rss.php?action=allow&xss
    hxxps://site/end-user/errdoc.php?e=530&msg
    hxxps://site/end-user/ftp_redirect.php?r=x&h
    hxxps://site/index.php?c=blocked&reason=malware&user=&&threat

A sérülékenységeket a 3.7.8.2 előtti verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-9968 – ASUS Armoury Crate sérülékenysége
CVE-2025-9337 – ASUS Armoury Crate sérülékenysége
CVE-2025-9336 – ASUS Armoury Crate sérülékenysége
CVE-2025-47827 – IGEL OS Use of a Key Past its Expiration Date sérülékenysége
CVE-2025-24990 – Microsoft Windows Untrusted Pointer Dereference sérülékenysége
CVE-2025-59230 – Microsoft Windows Improper Access Control sérülékenysége
CVE-2025-6264 – Rapid7 Velociraptor Incorrect Default Permissions sérülékenysége
CVE-2016-7836 – SKYSEA Client View Improper Authentication sérülékenysége
CVE-2025-7330 – Rockwell NAT CSRF sérülékenysége
Tovább a sérülékenységekhez »