首页 / 操作系统 / Linux / Symantec Data Insight Management Console跨站脚本漏洞（CVE-2014-3432）

发布日期：2014-06-25
更新日期：2014-06-26受影响系统：
Symantec Data Insight 4.x
 Symantec Data Insight 3.x
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 68160
 CVE（CAN） ID: CVE-2014-3432
 
Symantec Data Insight是企业数据管理解决方案。
 
Symantec Data Insight 4.5之前版本没有正确验证或过滤管理控制台上某些表格的字段值，在实现上存在跨站脚本执行漏洞，未经身份验证的攻击者可诱使经过身份验证的用户单击恶意链接或在受影响字段注入恶意脚本利用此漏洞，成功利用后可造成任意html脚本执行。
 
<*来源：2am Research team
 
 链接：http://www.symantec.com/security_response/securityupdates/detail.jsp？fid=security_advisory&pvid=secu
 *>建议：
--------------------------------------------------------------------------------
厂商补丁：
 
Symantec
 --------
 Symantec已经为此发布了一个安全公告（SYM14-012）以及相应补丁:
 SYM14-012：Security Advisories Relating to Symantec Products - Symantec Data Insight Management Console HTML Injection and Cross-Site Scripting
 链接：http://www.symantec.com/security_response/securityupdates/detail.jsp？fid=security_advisory&pvid=secu
 
补丁下载：https://symantec.flexnetoperations.com/