Межсайтовый скриптинг в F5 FirePass 4100 SSL VPN

Дата публикации:
03.12.2007
Дата изменения:
26.12.2007
Всего просмотров:
930
Опасность:
Низкая
Наличие исправления:
Частично
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
FirePass 5.x
FirePass 6.x
Уязвимые версии: F5 FirePass 5.5.2, 6.0.1 и более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных в URL в сценариях my.activation.php3 и my.logon.php3. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

https://[host]/my.activation.php3?"></script><textarea>HTML_injection_test</textarea><!--
https://[host]/my.logon.php3?"></script><textarea>HTML_injection_test</textarea><!--

URL производителя: www.f5.com/products/FirePass/

Решение: Установите исправление HF-601-6 для версии 6.0.1 с сайта производителя.

Журнал изменений:

26.12.2007
Добавлен PoC код.

или введите имя

CAPTCHA