PRTG Network Monitor login.htm errormsg 參數 XSS

medium Nessus Plugin ID 51876

概要

遠端 Web 伺服器包含受到跨網站指令碼弱點影響的應用程式。

說明

安裝的 PRTG Network Monitor 版本未清理傳遞至「login.htm」中 'errormsg' 參數的輸入,便將其用於產生動態 HTML 內容。

未經驗證的遠端攻擊者可能會利用此問題,將任意 HTML 或指令碼插入使用者的瀏覽器中,藉此在受影響網站的安全性內容中執行。

解決方案

升級至 8.2.0.1898/1899 版

另請參閱

https://seclists.org/bugtraq/2011/Jan/168

https://www.paessler.com/prtg/prtg8history

Plugin 詳細資訊

嚴重性: Medium

ID: 51876

檔案名稱: prtg_network_monitor_login_errormsg_xss.nasl

版本: 1.12

類型: remote

已發布: 2011/2/4

已更新: 2021/3/4

支援的感應器: Nessus

風險資訊

CVSS 評分論據: Score from an in depth analysis done by tenable

CVSS v2

風險因素: Medium

基本分數: 4.3

媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS 評分資料來源: manual

弱點資訊

必要的 KB 項目: installed_sw/prtg_network_monitor

排除在外的 KB 項目: Settings/disable_cgi_scanning

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2011/1/17

弱點發布日期: 2011/1/26

參考資訊

BID: 46029

CWE: 20, 442, 629, 711, 712, 722, 725, 74, 750, 751, 79, 800, 801, 809, 811, 864, 900, 928, 931, 990

Secunia: 43076