Symantec ProxySG 6.5 < 6.5.10.15 / 6.6 < 6.7.4.2 XSS 和信息泄露漏洞 (SA1472)

medium Nessus 插件 ID 128329

简介

远程设备受到多个漏洞的影响。

描述

远程 Symantec ProxySG 设备上安装的自我报告 SGOS 版本是低于 6.5.10.15 的 6.5.x 或低于 6.7.4.2 的 6.6.x。因此,会受到以下漏洞的影响:- ProxySG FTP 代理 WebFTP 模式中的跨站脚本 (XSS) 漏洞。经身份验证的远程攻击者可通过在远程 FTP 服务器的 ProxySG 的 Web 列表中注入恶意 JavaScript 代码而利用此问题。(CVE-2018-18370) - ProxySG FTP 代理 WebFTP 模式中存在一个信息泄露漏洞。经身份验证的远程攻击者可利用此问题,通过拦截用户访问 FTP 服务器的 FTP 连接,以获取纯文本身份验证凭据。(CVE-2018-18371)

解决方案

升级版本到 Symantec ProxySG SGOS 6.5.10.15、6.7.4.2 或更高版本。

另见

https://support.symantec.com/us/en/article.symsa1472.html

https://support.symantec.com/us/en/article.prod1629.html

插件详情

严重性: Medium

ID: 128329

文件名: symantec_proxy_sg_sa1472.nasl

版本: 1.4

类型: local

系列: Firewalls

发布时间: 2019/8/30

最近更新时间: 2022/5/19

风险信息

CVSS 分数来源: CVE-2018-18370

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: Medium

基本分数: 4.3

时间分数: 3.2

矢量: AV:N/AC:M/Au:N/C:N/I:P/A:N

时间矢量: E:U/RL:OF/RC:C

CVSS v3

风险因素: Medium

基本分数: 6.5

时间分数: 5.7

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

时间矢量: E:U/RL:O/RC:C

漏洞信息

CPE: x-cpe:/h:symantec:proxysg

必需的 KB 项: Host/BlueCoat/ProxySG/Version

易利用性: No known exploits are available

补丁发布日期: 2018/12/19

漏洞发布日期: 2018/12/19

参考资料信息

CVE: CVE-2018-18370, CVE-2018-18371

IAVA: 2019-A-0311