Symantec IM Manager Administration Console “Eval()” ASP kód befecskendezés sérülékenység


2011. február 1. 15:19

CH azonosító

CH-4287

Angol cím

Symantec IM Manager Administration Console "Eval()" ASP Code Injection Vulnerability

Felfedezés dátuma

2011.01.31.

Súlyosság

Alacsony

Érintett rendszerek

IM Manager
Symantec

Érintett verziók

Symantec IM Manager 2007 8.x

Összefoglaló

A Symantec IM Manager olyan sérülékenysége vált ismertté, amelyet kihasználva a támadók feltörhetik a sérülékeny rendszert.

Leírás

Egyes “ScheduleTask()” függvényekhez rendelt bemenetek az IMAdminSchedTask.asp-ben nincsenek megfelelően tisztázva mielőtt egy “Eval()” hívásban felhasználásra kerülnek. Ez kihasználható tetszőleges ASP kód futtatására, ha egy bejelentkezett adminisztrátort sikerül rávenni egy kártékony link követésére.

A sérülékenységet a 8.4.16-ost megelőző verziókban jelentették.

Megoldás

Frissítsen a 8.4.17-es verzióra.

Támadás típusa

Input manipulation (Bemenet módosítás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

SECUNIA 43143
Gyártói referencia: www.symantec.com
CVE-2010-3719 - NVD CVE-2010-3719
Egyéb referencia: www.zerodayinitiative.com

Legfrissebb sérülékenységek
CVE-2025-40536 – SolarWinds Web Help Desk Security Control Bypass sérülékenység
CVE-2025-15556 – Notepad++ Download of Code Without Integrity Check sérülékenység
CVE-2024-43468 – Microsoft Configuration Manager SQL Injection sérülékenység
CVE-2026-20700 – Apple Multiple Buffer Overflow sebezhetőség
CVE-2026-21514 – Microsoft Office Word Reliance on Untrusted Inputs in a Security Decision sérülékenység
CVE-2026-21519 – Microsoft Windows Type Confusion sérülékenység
CVE-2026-21533 – Microsoft Windows Improper Privilege Management sérülékenység
CVE-2026-21510 – Microsoft Windows Shell Protection Mechanism Failure sérülékenység
CVE-2026-21525 – Microsoft Windows NULL Pointer Dereference sérülékenység
CVE-2026-21513 – Microsoft MSHTML Framework Protection Mechanism Failure sérülékenység
Tovább a sérülékenységekhez »