Trend Micro InterScan Messaging Security Suite跨站脚本执行和请求伪造漏洞

发布日期：2012-09-17
更新日期：2012-09-19受影响系统：
Trend Micro InterScan Messaging Security Suite 7.x
描述：
--------------------------------------------------------------------------------
CVE ID: CVE-2012-2996,CVE-2012-2995InterScan Messaging Security Suite for SMTP （简称IMSS）是趋势科技为企业IT网络资源提供一套高性能、基于策略的网关安全过滤解决方案，架设于企业的 SMTP 对外网关上。Trend Micro InterScan Messaging Security Suite 7.1-Build_Win32_1394及其他版本存在多个安全漏洞，攻击者可利用这些漏洞执行跨站脚本执行和请求伪造攻击。1）应用允许用户通过HTTP请求执行某些操作，而不执行任何请求验证操作，如果管理员用户浏览恶意网站，可被利用创建具有管理员权限的任意用户。2）通过initUpdSchPage.imss内的"src"参数传递的输入没有正确过滤即被返回给用户，可被利用在受影响站点的用户浏览器中执行HTML和脚本代码。<*来源：Tom Gregory

链接：http://secunia.com/advisories/50620/
http://www.kb.cert.org/vuls/id/471364
*>建议：
--------------------------------------------------------------------------------
厂商补丁：Trend Micro
-----------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：http://www.antivirus.com/IE 再曝 0day 漏洞 IE/7/8/9 均中招Novell GroupWise日期/时间解析拒绝服务漏洞相关资讯请求伪造漏洞本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规