Symantec Web Gateway timer.php XSS (SYM12-006)

medium Nessus Plugin ID 59097
新推出!弱點優先順序評分 (VPR)

Tenable 會為每個弱點計算動態 VPR。VPR 將弱點資訊與威脅情報和機器學習演算法加以結合,藉此預測攻擊者最有可能利用哪些弱點發動攻擊。查看詳細資訊: VPR 是什麼?它跟 CVSS 有何不同?

VPR 評分: 3

Synopsis

遠端 Web 伺服器主控的 Web 安全性應用程式中有一個跨網站指令碼弱點。

描述

遠端 Web 伺服器主控的 Symantec Web Gateway 版本容易遭受跨網站指令碼攻擊。未正確清理在 timer.php 的 'l' 參數中的輸入。攻擊者可透過誘騙使用者提出惡意要求來惡意利用此弱點,從而導致任意指令碼執行。據報,雖然 Nessus 尚未針對這些問題進行檢查,但此軟體版本存有其他跨網站指令碼弱點。

解決方案

升級至 Symantec Web Gateway 5.0.3 或更新版本。

另請參閱

http://www.nessus.org/u?5b5929ae

Plugin 詳細資訊

嚴重性: Medium

ID: 59097

檔案名稱: symantec_web_gateway_timer_xss.nasl

版本: 1.10

類型: remote

已發布: 2012/5/15

已更新: 2021/1/19

相依性: symantec_web_gateway_detect.nasl

風險資訊

風險因素: Medium

VPR 評分: 3

CVSS v2.0

基本分數: 4.3

時間分數: 3.7

媒介: AV:N/AC:M/Au:N/C:N/I:P/A:N

時間媒介: E:H/RL:OF/RC:C

弱點資訊

CPE: cpe:/a:symantec:web_gateway

必要的 KB 項目: www/symantec_web_gateway

可輕鬆利用: No exploit is required

修補程式發佈日期: 2012/5/17

弱點發布日期: 2012/5/4

參考資訊

CVE: CVE-2012-0296

BID: 53396

EDB-ID: 18832

CWE: 20, 74, 79, 442, 629, 711, 712, 722, 725, 750, 751, 800, 801, 809, 811, 864, 900, 928, 931, 990