Symantec IM Manager Administration Console “Eval()” ASP kód befecskendezés sérülékenység


2011. február 1. 15:19

CH azonosító

CH-4287

Angol cím

Symantec IM Manager Administration Console "Eval()" ASP Code Injection Vulnerability

Felfedezés dátuma

2011.01.31.

Súlyosság

Alacsony

Érintett rendszerek

IM Manager
Symantec

Érintett verziók

Symantec IM Manager 2007 8.x

Összefoglaló

A Symantec IM Manager olyan sérülékenysége vált ismertté, amelyet kihasználva a támadók feltörhetik a sérülékeny rendszert.

Leírás

Egyes “ScheduleTask()” függvényekhez rendelt bemenetek az IMAdminSchedTask.asp-ben nincsenek megfelelően tisztázva mielőtt egy “Eval()” hívásban felhasználásra kerülnek. Ez kihasználható tetszőleges ASP kód futtatására, ha egy bejelentkezett adminisztrátort sikerül rávenni egy kártékony link követésére.

A sérülékenységet a 8.4.16-ost megelőző verziókban jelentették.

Megoldás

Frissítsen a 8.4.17-es verzióra.

Támadás típusa

Input manipulation (Bemenet módosítás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

SECUNIA 43143
Gyártói referencia: www.symantec.com
CVE-2010-3719 - NVD CVE-2010-3719
Egyéb referencia: www.zerodayinitiative.com

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-4581 – Liferay sérülékenysége
CVE-2025-40605 – SonicWall Email Security sérülékenysége
CVE-2025-40604 – SonicWall Email Security sérülékenysége
CVE-2025-40601 – SonicWall SonicOS sérülékenység
CVE-2025-61757 – Oracle Fusion Middleware Missing Authentication for Critical Function sérülékenysége
CVE-2024-12912 – ASUS Router AiCloud sérülékenysége
CVE-2025-11001 – 7-Zip sérülékenysége
CVE-2025-58034 – Fortinet FortiWeb OS Command Injection sérülékenysége
CVE-2025-13224 – Google Chrome sérülékenysége
Tovább a sérülékenységekhez »