ManageEngine Firewall Analyzer 多个 XSS
medium Nessus 插件 ID 90445
语言:
简介
远程 Web 服务器托管的一个应用程序受到多种跨站脚本漏洞的影响。描述
远程 Web 服务器上运行的 ManageEngine Firewall Analyzer 受到多种跨站脚本 (XSS) 漏洞的影响,这是因为不当验证用户提供的输入所导致。远程攻击者可利用这些漏洞,在用户的浏览器会话中执行任意脚本代码。以下脚本中存在 XSS 漏洞:- /addDevCrd.nms
- /createAnomaly.nms
- /createProfile.do
- /customizeReportAction.nms
- /fw/addbookmark.do
- /fw/createProfile.do
- /fw/editUserFormPage.do
- /fw/graphs
- /fw/index2.do
- /fw/mindex.do
- /fw/reportFilter.do
- /fw/ResolveDNSConfig.nms
- /ResolveDNSConfig.nms
- /searchAction.do
- /uniquereport.do
- /userIPConfig.nms
- /viewListPageAction.nms
请注意,Nessus 只尝试过在 viewListPageAction.nms 脚本中利用 XSS 漏洞。另请注意,还存在一个 SQL 注入漏洞,但是 Nessus 尚未针对此漏洞进行测试。
解决方案
升级到 ManageEngine Firewall Analyzer 12.0 版。另见
插件详情
严重性: Medium
ID: 90445
文件名: manageengine_firewall_analyzer_pre12_multiple_xss.nasl
版本: 1.5
类型: remote
系列: CGI abuses : XSS
发布时间: 2016/4/13
最近更新时间: 2018/8/8
风险信息
CVSS v2
风险因素: Medium
基本分数: 4.3
时间分数: 3.7
矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
时间矢量: CVSS2#E:H/RL:OF/RC:C
漏洞信息
CPE: x-cpe:/a:zohocorp:manageengine_firewall_analyzer
必需的 KB 项: installed_sw/ManageEngine Firewall Analyzer
可利用: true
易利用性: Exploits are available
被 Nessus 利用: true
补丁发布日期: 2016/2/23
漏洞发布日期: 2016/2/19