漏洞信息详情

多款Dell SonicWALL产品跨站脚本漏洞

• CNNVD编号：CNNVD-201312-154
• 危害等级： 中危
  
• CVE编号： CVE-2013-7025
• 漏洞类型： 跨站脚本
• 发布时间： 2013-12-11
• 威胁类型： 远程
• 更新时间： 2013-12-11
• 厂        商： sonicwall
• 漏洞来源：

漏洞简介

Dell SonicWALL Global Management System（GMS）、Analyzer都是美国戴尔（Dell）公司的产品。Dell SonicWALL GMS是一套全球管理系统，可快速部署和集中管理SonicWALL基础架构。Dell SonicWALL Analyzer是一套针对SonicWALL基础架构的网络分析器软件。Dell SonicWALL UMA EM5000是一套通用管理设备软件。

Dell SonicWALL GMS，Analyzer，UMA EM5000 Hotfix 134235之前的7.1 SP1版本中的Alert Settings部分中的ematStaticAlertTypes.jsp脚本中存在跨站脚本漏洞，该漏洞源于createNewThreshold.jsp脚本没有正确过滤‘valfield_1’和‘value_1’参数。远程经过授权的攻击者可通过创建特制的请求利用该漏洞注入任意Web脚本或HTML。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.sonicwall.com/us/shared/download/Support_Bulletin_GMS_Vulnerability_Hotfix_134235.pdf

参考网址

来源: www.vulnerability-lab.com

链接:http://www.vulnerability-lab.com/get_content.php?id=1099

来源: www.sonicwall.com

链接:http://www.sonicwall.com/us/shared/download/Support_Bulletin_GMS_Vulnerability_Hotfix_134235.pdf

来源: SECTRACK

名称: 1029433

链接:http://www.securitytracker.com/id/1029433

来源: BID

名称: 64103

链接:http://www.securityfocus.com/bid/64103

来源: EXPLOIT-DB

名称: 30054

链接:http://www.exploit-db.com/exploits/30054

来源: FULLDISC

名称: 20131205 Sonicwall GMS v7.x - Filter Bypass & Persistent Vulnerability

链接:http://seclists.org/fulldisclosure/2013/Dec/32

来源: OSVDB

名称: 100610

链接:http://osvdb.org/100610

受影响实体

• Sonicwall Uma_e5000_firmware:7.1:Sp1  
• Sonicwall Uma_e5000_firmware:7.1  
• Sonicwall Uma_e5000_firmware:7.0  
• Sonicwall Global_management_system:7.1:Sp1  
• Sonicwall Global_management_system:7.1  

补丁

暂无