Symantec ProxySG 6.5 < 6.5.10.15 / 6.6 < 6.7.4.2 XSS 和信息泄露漏洞 (SA1472)

medium Nessus 插件 ID 128329
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程设备受到多个漏洞的影响。

描述

远程 Symantec ProxySG 设备上安装的自我报告 SGOS 版本是低于 6.5.10.15 的 6.5.x 或低于 6.7.4.2 的 6.6.x。因此,会受到以下漏洞的影响:- ProxySG FTP 代理 WebFTP 模式中的跨站脚本 (XSS) 漏洞。经身份验证的远程攻击者可通过在远程 FTP 服务器的 ProxySG 的 Web 列表中注入恶意 JavaScript 代码而利用此问题。(CVE-2018-18370) - ProxySG FTP 代理 WebFTP 模式中存在一个信息泄露漏洞。经身份验证的远程攻击者可利用此问题,通过拦截用户访问 FTP 服务器的 FTP 连接,以获取纯文本身份验证凭据。(CVE-2018-18371)

解决方案

升级版本到 Symantec ProxySG SGOS 6.5.10.15、6.7.4.2 或更高版本。

另见

https://support.symantec.com/us/en/article.symsa1472.html

https://support.symantec.com/us/en/article.prod1629.html

插件详情

严重性: Medium

ID: 128329

文件名: symantec_proxy_sg_sa1472.nasl

版本: 1.3

类型: local

系列: Firewalls

发布时间: 2019/8/30

最近更新时间: 2020/1/7

依存关系: bluecoat_proxy_sg_version.nasl

风险信息

CVSS 分数来源: CVE-2018-18370

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: Medium

基本分数: 4.3

时间分数: 3.2

矢量: AV:N/AC:M/Au:N/C:N/I:P/A:N

时间矢量: E:U/RL:OF/RC:C

CVSS v3

风险因素: Medium

基本分数: 6.1

时间分数: 5.3

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

时间矢量: E:U/RL:O/RC:C

漏洞信息

CPE: x-cpe:/h:symantec:proxysg

必需的 KB 项: Host/BlueCoat/ProxySG/Version

易利用性: No known exploits are available

补丁发布日期: 2018/12/19

漏洞发布日期: 2018/12/19

参考资料信息

CVE: CVE-2018-18370, CVE-2018-18371

IAVA: 2019-A-0311