F5 BIG-IP应用安全管理器report_type跨站脚本漏洞

2008-01-30T00:00:00
ID SSV:2875
Type seebug
Reporter Root
Modified 2008-01-30T00:00:00

Description

BUGTRAQ ID: 27462

BIG-IP应用安全管理器(ASM)是Web应用和运行基础架构的综合安全防护解决方案。

BIG-IP在处理用户请求时存在输入验证漏洞,远程攻击者可能利用此漏洞执行跨站脚本执行攻击。

F5 BIG-IP ASM的Web管理界面的/dms/policy/rep_request.php页面没有正确地验证对report_type参数的输入,如果用户受骗跟随了恶意链接的话,就可能导致在用户浏览器会话中执行跨站脚本攻击。

F5 BIG-IP Application Security Manager 9.4.3 厂商补丁:

F5

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

<a href=http://www.f5.com/ target=_blank>http://www.f5.com/</a>

                                        
                                            
                                                https://(target)/dms/policy/rep_request.php?report_type=%22%3E%3Cbody+onload=alert(%26quot%3BXSS%26quot%3B)%3E%3Cfoo+