漏洞信息详情
F5 FirePass SSL VPN 多个跨站脚本漏洞
- CNNVD编号:CNNVD-200806-138
- 危害等级: 中危
- CVE编号: CVE-2008-2637
- 漏洞类型: 跨站脚本
- 发布时间: 2008-06-09
- 威胁类型: 远程
- 更新时间: 2009-04-08
- 厂 商: f5
- 漏洞来源: nnposter nnposter...
漏洞简介
F5 FirePass SSL VPN设备允许用户安全地连接到关键业务应用设备上。
F5 FirePass SSL VPN设备对通过Portal Access所提交的Web请求执行基本的过滤,Content Inspection功能是通过Web管理接口配置和自定义的,而这个Web管理界面的/vdesk/admincon/webyfiers.php文件没有正确地验证CSS_exceptions参数输入,/vdesk/admincon/index.php文件没有正确地验证sql_matchscope参数输入。如果远程攻击者向上述页面提交了恶意HTTP请求的话,就可以执行跨站脚本攻击,导致执行任意指令。
漏洞公告
目前厂商还没有提供补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.f5.com
参考网址
来源: XF
名称: firepass-webyfiers-index-xss(42884)
链接:http://xforce.iss.net/xforce/xfdb/42884
来源: SECTRACK
名称: 1020205
链接:http://www.securitytracker.com/id?1020205
来源: BID
名称: 29574
链接:http://www.securityfocus.com/bid/29574
来源: BUGTRAQ
名称: 20080605 F5 FirePass Content Inspection Management XSS
链接:http://www.securityfocus.com/archive/1/archive/1/493149/100/0/threaded
来源: VUPEN
名称: ADV-2008-1765
链接:http://www.frsirt.com/english/advisories/2008/1765/references
来源: SREASON
名称: 3931
链接:http://securityreason.com/securityalert/3931
来源: SECUNIA
名称: 30550
链接:http://secunia.com/advisories/30550
受影响实体
- F5 Firepass_ssl_vpn:6.0.2:Hotfix_3
补丁
暂无
评论