Множественные уязвимости в Symantec Web Gateway

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности, получить доступ к важным данным, выполнить произвольные SQL команды и скомпрометировать целевую систему.

1. Уязвимость существует из-за недостаточной проверки входных данных в параметре filename в сценарии spywall/pbcontrol.php. Удаленный пользователь может внедрить и выполнить произвольные команды на системе.

2. Уязвимость существует из-за недостаточной проверки входных данных в параметре "language" в сценарии spywall/languageTest.php. Удаленный пользователь может с помощью специально сформированного URL, содержащего символы обхода каталога, подключить и выполнить произвольные файлы на локальной системе.

3. Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может выполнить произвольный SQL команды в базе данных приложения.

4. Уязвимость существует из-за недостаточной обработки входных данных в различных сценариях. Удаленный пользователь может внедрить и выполнить произвольные команды на системе.

5. Уязвимость существует из-за недостаточной обработки входных данных в консоли управления. Удаленный пользователь может изменить пароль для произвольной учетной записи в приложении.

6. Уязвимость существует из-за недостаточной обработки входных данных в параметре "ip" в сценариях spywall/ldap_latest.php. Удаленный пользователь может выполнить произвольные SQL команды в базе данных приложения.

URL производителя: http://www.symantec.com/business/web-gateway

Решение: Установите исправление Database Update 5.0.0.438 с сайта производителя.