Endian Firewall多个跨站脚本执行漏洞

发布日期：2012-02-18
更新日期：2012-10-03受影响系统：
endian UTM Firewall Appliance Application v2.4.x
描述：
--------------------------------------------------------------------------------
CVE ID: CVE-2012-4923Endian Firewall是开源的防火墙设备。Endian Firewall 2.4存在多个XSS漏洞，可允许远程攻击者通过createrule参数向dnat.cgi传参、addrule参数向dansguardian.cgi传参、 PATH_INFO参数向openvpn_users.cgi传参，注入任意Web脚本或HTML。<*来源：Vulnerability Research Laboratory

链接：http://xforce.iss.net/xforce/xfdb/73330
*>测试方法：
--------------------------------------------------------------------------------警告以下程序（方法）可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！https://www.example.com/cgi-bin/dnat.cgi#createrule[XSS]
https://www.example.com/cgi-bin/dansguardian.cgi#addrule[XSS]
https://www.example.com/cgi-bin/openvpn_users.cgi？=[XSS]建议：
--------------------------------------------------------------------------------
厂商补丁：endian
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：http://www.endian.comphpMyAdmin 官方镜像被发现植入后门Drupal Search Autocomplete模块数据库API SQL注入漏洞相关资讯安全漏洞

TP-LINK TL-WR841N路由器本地文件（11/01/2012 07:53:32）
20121005,微软十月份安全补丁提前（10/08/2012 10:59:58）
Adobe Flash Player多个安全漏洞（06/12/2012 09:59:20）

20121010，微软10月10日发布7个安（10/11/2012 09:05:14）
程序员要为安全漏洞负责任？（08/25/2012 05:33:57）
Siemens WinCC多个安全漏洞（06/08/2012 11:25:48）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容