Межсайтовый скриптинг в FortiOS

Дата публикации:
06.10.2003
Всего просмотров:
920
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Fortinet FortiOS (FortiGate) 2.x
Уязвимые версии: Fortinet FortiOS 2.х до версии 2.50 MR4

Описание: Несколько уязвимостей обнаружено в FortiOS. Удаленный пользователь может выполнить XSS нападение.

URL, который блокирует FortiGate, регистрируется нефильтрованный и затем отображается в административном интерфейсе. В результате злонамеренный пользователь может выполнить произвольный код сценария в административном Web интерфейсе.

Также обнаружено еще две уязвимости, суть которых не раскрывается. Одна из этих уязвимостей в комбинации с XSS может использоваться злонамеренным пользователем, чтобы украсть имя пользователя и пароль администратора.

Пример/Эксплоит:

http://www.example.com/XXXX.html<script>alert(oops)</script>
где http://www.example.com/XXXX.html запрещенная для просмотра страница.

URL производителя:http://support.fortinet.com/

Решение: XSS уязвимость устранена в FortiOS 2.50MR4. Ограничьте доступ к административному Web интерфейсу только доверенным IP адресам.

Ссылки: FortiOS

или введите имя

CAPTCHA