漏洞信息详情
Sophos Anti-Virus for Linux Web UI 跨站脚本漏洞
- CNNVD编号:CNNVD-201407-524
- 危害等级: 中危
- CVE编号: CVE-2014-2385
- 漏洞类型: 跨站脚本
- 发布时间: 2014-07-23
- 威胁类型: 远程
- 更新时间: 2014-07-23
- 厂 商: sophos
- 漏洞来源:
漏洞简介
Sophos Anti-Virus for Linux是英国Sophos公司的一套用于Linux操作系统的反病毒软件。该软件可实时侦测和清除病毒、间谍软件、木马和蠕虫,确保台式机和笔记本电脑的全面网络保护。
Sophos Anti-Virus for Linux 9.5.1及之前版本的Web UI中存在两个跨站脚本漏洞,这些漏洞源于exclusion/configure脚本没有充分过滤‘newListList:ExcludeFileOnExpression’、‘newListList:ExcludeFilesystems’、‘newListList:ExcludeMountPaths’参数,notification/configure脚本没有充分过滤‘text:EmailServer’和‘newListList:Email’参数。远程攻击者可利用这些漏洞执行任意Web脚本或HTML。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.sophos.com/en-us/support/knowlEdgebase/121135.aspx
参考网址
来源:FULLDISC
链接:http://seclists.org/fulldisclosure/2014/Jun/126
来源:SECTRACK
链接:http://www.securitytracker.com/id/1030467
来源:www.sophos.com
链接:http://www.sophos.com/en-us/support/knowlEdgebase/121135.aspx
来源:www.portcullis-security.com
链接:https://www.portcullis-security.com/security-research-and-downloads/security-advisories/cve-2014-2385/
受影响实体
- Sophos Anti-Virus:9.5.1:~~~Linux_kernel~~
补丁
暂无
评论