Symantec Messaging Gateway sérülékenységek

CH azonosító

CH-7461

Angol cím

Symantec Messaging Gateway Multiple Vulnerabilities

Felfedezés dátuma

2012.08.27.

Súlyosság

Alacsony

Érintett rendszerek

Messaging Gateway
Symantec

Érintett verziók

Symantec Messaging Gateway 9.x

Összefoglaló

A Symantec Messaging Gateway több sérülékenységét jelentették, amiket kihasználva a rosszindulatú felhasználók megkerülhetnek bizonyos biztonsági korlátozást, illetve támadók bizalmas információkat szerezhetnek, valamint cross-site scripting (XSS/CSS) és cross-site equest forgery (XSRF/CSRF) támadásokat hajthatnak végre.

Leírás

  1. Egyes web-en és email-ben átadott tartalmak nincsenek megfelelően megtisztítva, mielőtt visszakerülnének a felhasználóhoz. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
  2. Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ezt kihasználva adminisztratív jogosultságokat lehet szerezni, ha egy belépett adminisztrátor meglátogat egy speciálisan elkészített weboldalt.
  3. A management felület egy hibája lehetővé teszi, hogy egyébként nem engedélyezett műveleteket lehessen elvégezni, illetve módosítani lehessen a web-es alkalmazást.
  4. Egy sérülékenységet kihasználva az alkalmazás által használt komponensekről lehet bizalmas információkat szerezni.

A sérülékenységek a 9.5.x és korábbi verziókat érintik.

Megoldás

Frissítsen a legújabb verzióra