CH azonosító
CH-3703Angol cím
Synology DiskStation Manager Script Insertion VulnerabilityFelfedezés dátuma
2010.09.28.Súlyosság
KözepesÉrintett rendszerek
DiskStation ManagerSynology
Érintett verziók
Synology Disk Station DS209+II
Synology Disk Station DS509+
Synology DiskStation Manager 2.x
Összefoglaló
A Synology DiskStation Manager egy sérülékenységét jelentették, amelyet a támadók kihasználhatnak script beszúrásos támadások indítására.
Leírás
A sérülékenységet a hibás FTP bejelentkezési kísérletekből keletkezett bemenetek megfelelő ellenőrzés nélküli megjelenítése okozza a webfelület log fájljaiban. Ez felhasználható tetszőleges HTML és script kódok beszúrására, melyek lefuttatásra kerülnek az adminisztrátori jogosultságú felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
A sikeres kiaknázás tetszőleges adminisztrátori művelet végrehajtását teszi lehetővé.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: archives.neohapsis.com
SECUNIA 41487
