ManageEngine Firewall Analyzer 多个 XSS

medium Nessus 插件 ID 90445

简介

远程 Web 服务器托管的一个应用程序受到多种跨站脚本漏洞的影响。

描述

远程 Web 服务器上运行的 ManageEngine Firewall Analyzer 受到多种跨站脚本 (XSS) 漏洞的影响,这是因为不当验证用户提供的输入所导致。远程攻击者可利用这些漏洞,在用户的浏览器会话中执行任意脚本代码。以下脚本中存在 XSS 漏洞:

- /addDevCrd.nms
- /createAnomaly.nms
- /createProfile.do
- /customizeReportAction.nms
- /fw/addbookmark.do
- /fw/createProfile.do
- /fw/editUserFormPage.do
- /fw/graphs
- /fw/index2.do
- /fw/mindex.do
- /fw/reportFilter.do
- /fw/ResolveDNSConfig.nms
- /ResolveDNSConfig.nms
- /searchAction.do
- /uniquereport.do
- /userIPConfig.nms
- /viewListPageAction.nms

请注意,Nessus 只尝试过在 viewListPageAction.nms 脚本中利用 XSS 漏洞。另请注意,还存在一个 SQL 注入漏洞,但是 Nessus 尚未针对此漏洞进行测试。

解决方案

升级到 ManageEngine Firewall Analyzer 12.0 版。

另见

http://www.nessus.org/u?1e40ddf8

插件详情

严重性: Medium

ID: 90445

文件名: manageengine_firewall_analyzer_pre12_multiple_xss.nasl

版本: 1.5

类型: remote

发布时间: 2016/4/13

最近更新时间: 2018/8/8

风险信息

CVSS v2

风险因素: Medium

基本分数: 4.3

时间分数: 3.7

矢量: AV:N/AC:M/Au:N/C:N/I:P/A:N

时间矢量: E:H/RL:OF/RC:C

漏洞信息

CPE: x-cpe:/a:zohocorp:manageengine_firewall_analyzer

必需的 KB 项: installed_sw/ManageEngine Firewall Analyzer

可利用: true

易利用性: Exploits are available

被 Nessus 利用: true

补丁发布日期: 2016/2/23

漏洞发布日期: 2016/2/19

参考资料信息

EDB-ID: 39477