漏洞信息详情

Pulse Connect Secure和Pulse Policy Secure 跨站脚本漏洞

• CNNVD编号：CNNVD-201801-574
• 危害等级： 中危
  
• CVE编号： CVE-2017-17947
• 漏洞类型： 跨站脚本
• 发布时间： 2018-01-17
• 威胁类型： 远程
• 更新时间： 2018-01-17
• 厂        商： pulsesecure
• 漏洞来源：

漏洞简介

Pulse Connect Secure（PCS）和Pulse Policy Secure（PPS）都是美国Pulse Secure公司的产品。Pulse Connect Secure是一套SSL VPN解决方案。Pulse Policy Secure是一套NAC和BYOD解决方案。

PCS和PPS中的custompage.cgi文件存在跨站脚本漏洞，该漏洞源于程序没有过滤URL参数。远程攻击者可利用该漏洞注入任意的Web脚本或HTML。以下版本受到影响：Pulse Connect Secure 8.0R17.0之前的版本，8.1R13之前的8.1.x版本，8.2R9之前的8.2.x版本，8.3R3之前的8.3.x版本；Pulse Policy Secure 5.2R10之前的版本，5.3R9之前的5.3.x版本，5.4R3之前的5.4.x版本。

漏洞公告

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

http://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA43018

参考网址

来源:CONFIRM

链接:http://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA43018

受影响实体

• Pulsesecure Pulse_connect_secure:8.2  
• Pulsesecure Pulse_connect_secure:8.1r2.1  
• Pulsesecure Pulse_connect_secure:8.1r2.0  
• Pulsesecure Pulse_connect_secure:8.1r1.1  
• Pulsesecure Pulse_connect_secure:8.1r1.0  

补丁

• Pulse Connect Secure和Pulse Policy Secure 跨站脚本漏洞的修复措施