Dell iDRAC6 / iDRAC7 登录页面“ErrorMsg”参数 XSS

medium Nessus 插件 ID 70411

简介

远程设备受到跨站脚本漏洞的影响。

描述

远程 Dell Remote Access Controller (iDRAC6 / iDRAC7) 受到登录页面中一个跨站脚本漏洞的影响,原因是未正确审查用户向“ErrorMsg”参数提供的输入。攻击者可利用此问题将任意 HTML 和脚本代码注入用户的浏览器,以便在受影响网站的安全环境中执行。

请注意,iDRAC6“模块化”(刀片)不受此问题的影响,也不需要更新。

解决方案

升级至固件版本 1.96 (iDRAC6) / 1.46.45 (iDRAC7) 或更新版。

另见

http://www.nessus.org/u?5e485807

插件详情

严重性: Medium

ID: 70411

文件名: drac_errormsg_xss.nasl

版本: 1.6

类型: remote

发布时间: 2013/10/13

最近更新时间: 2022/4/11

配置: 启用全面检查

支持的传感器: Nessus

风险信息

VPR

风险因素: Low

分数: 3.0

CVSS v2

风险因素: Medium

基本分数: 4.3

时间分数: 3.7

矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

漏洞信息

CPE: cpe:/h:dell:remote_access_card, cpe:/o:dell:idrac6_firmware, cpe:/o:dell:idrac7_firmware

必需的 KB 项: installed_sw/iDRAC

易利用性: No exploit is required

补丁发布日期: 2013/9/23

漏洞发布日期: 2013/9/23

参考资料信息

CVE: CVE-2013-3589

BID: 62598

CWE: 20, 442, 629, 711, 712, 722, 725, 74, 750, 751, 79, 800, 801, 809, 811, 864, 900, 928, 931, 990

CERT: 920038