Уязвимость BDU:2014-00227

Дата: 30.07.2012. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2014-00227.

Наименование уязвимости: Уязвимость антивирусном средстве Dr.Web Enterprise Security Suite, позволяющая злоумышленнику осуществить XSS-атаку.

Описание уязвимости: Уязвимость средства антивирусной защиты Dr.Web Enterprise Security Suite позволяет осуществить XSS-атаку из-за недостаточной проверки имени пользователя в компоненте Web-администратора на странице входа в систему, прежде чем имя пользователя будет возвращено пользователю. Это может позволить злоумышленнику при помощи специально созданного запроса на аутентификацию внедрить произвольный код сценария в журнал аудита. Произвольный JavaScript будет выполнен в браузере пользователя, просматривающего журнал аудита
Уязвимое ПО: Программное средство защиты ООО «Доктор Веб» Dr.Web Enterprise Security Suite 6.0 |

Наименование ОС и тип аппаратной платформы: Windows 64-bit | Windows 32-bit |
Дата выявления: 30.07.2012.
CVSS 2.0: AV:N/AC:M/Au:N/C:N/I:P/A:N
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)

Возможные меры по устранению:
Установка обновления, доступного на сайте производителя: http://news.drweb.com/?i=2612&c=8&lng=en&p=0
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: OSVDB ID:84356. Secunia Advisory ID:50082. Exploit Database ID:20124.

Тип ошибки CWE: CWE-79
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://osvdb.org/show/osvdb/84356

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован.