Symantec Messaging Gateway sérülékenységek

CH azonosító

CH-7461

Angol cím

Symantec Messaging Gateway Multiple Vulnerabilities

Felfedezés dátuma

2012.08.27.

Súlyosság

Alacsony

Érintett rendszerek

Messaging Gateway
Symantec

Érintett verziók

Symantec Messaging Gateway 9.x

Összefoglaló

A Symantec Messaging Gateway több sérülékenységét jelentették, amiket kihasználva a rosszindulatú felhasználók megkerülhetnek bizonyos biztonsági korlátozást, illetve támadók bizalmas információkat szerezhetnek, valamint cross-site scripting (XSS/CSS) és cross-site equest forgery (XSRF/CSRF) támadásokat hajthatnak végre.

Leírás

  1. Egyes web-en és email-ben átadott tartalmak nincsenek megfelelően megtisztítva, mielőtt visszakerülnének a felhasználóhoz. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
  2. Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ezt kihasználva adminisztratív jogosultságokat lehet szerezni, ha egy belépett adminisztrátor meglátogat egy speciálisan elkészített weboldalt.
  3. A management felület egy hibája lehetővé teszi, hogy egyébként nem engedélyezett műveleteket lehessen elvégezni, illetve módosítani lehessen a web-es alkalmazást.
  4. Egy sérülékenységet kihasználva az alkalmazás által használt komponensekről lehet bizalmas információkat szerezni.

A sérülékenységek a 9.5.x és korábbi verziókat érintik.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-33072 – Microsoft msagsfeedback.azurewebsites.net Information Disclosure sebezhetősége
CVE-2025-30377 – Microsoft Office Remote Code Execution sebezhetősége
CVE-2024-57726 – SimpleHelp sebezhetősége
CVE-2024-57728 – SimpleHelp sebezhetősége
CVE-2025-20114 – Cisco Unified Intelligence Center Privilege Escalation sebezhetősége
CVE-2025-20113 – Cisco Unified Intelligence Center Privilege Escalation sebezhetősége
CVE-2025-20152 – Cisco Identity Services Engine RADIUS Denial of Service sérülékenysége
CVE-2025-4632 – Samsung MagicINFO 9 Server Path Traversal sérülékenysége
CVE-2023-38950 – ZKTeco BioTime Path Traversal sérülékenysége
Tovább a sérülékenységekhez »