发布日期:2012-12-03
更新日期:2012-12-05受影响系统:
Fortinet FortiOS 4.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 56774FortiGate系列安全产品可检测和消除网络威胁。Fortinet FortiOS (FortiGate)4.4.1-0215, r20021及其他版本存在多个安全漏洞,传递给受影响脚本的"conversationContext"参数值没有被正确过滤即被返回给用户,可导致在用户浏览器会话中执行任意HTML和脚本代码。受影响脚本列表:http://[host]/admin/auditTrail.jsf?conversationContext
http://[host]/database/listTargetGroups.jsf?conversationContext
http://[host]/mapolicymgmt/editPolicyProfile.jsf?conversationContext
http://[host]/mapolicymgmt/maPolicyMasterList.jsf?conversationContext
http://[host]/mapolicymgmt/targetsMonitorView.jsf?conversationContext
http://[host]/network/router.jsf?conversationContext
http://[host]/sysconfig/listSystemInfo.jsf?conversationContext
http://[host]/vaerrorlog/vaErrorLog.jsf?conversationContext
http://[host]/vascan/globalsummary.jsf?conversationContext
http://[host]/vascan/list.jsf?conversationContext<*来源:Benjamin Kunz Mejri
链接:http://secunia.com/advisories/51431/
http://www.vulnerability-lab.com/download_content.php?id=558
*>建议:
--------------------------------------------------------------------------------
厂商补丁:Fortinet
--------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://www.fortinetfirewall.com/index.phpOracle MySQL Server 5.5.19拒绝服务漏洞Oracle MySQL Server 5.5.19用户名枚举漏洞相关资讯 Fortigate 跨站脚本漏洞 FortiGate安全漏洞
- Fortinet FortiOS Cookie解析器缓 (今 17:24)
- FortiGuard FortiWeb CRLF注入漏洞 (05/05/2014 15:05:37)
- Fortinet FortiOS "mkey"参数跨站 (02/14/2014 11:42:40)
| - FortiGuard FortiWeb跨站脚本执行 (05/07/2014 05:39:55)
- Fortinet Fortiweb "filter"参数跨 (02/22/2014 08:02:06)
- D-Link DIR-300 / DIR-615 “send_ (04/25/2013 20:37:59)
|
本文评论 查看全部评论 (0)
易网时代-编程资源站