漏洞起因
输入验证错误
影响系统
Barracuda Networks IM Firewall 4.0.01.003
不受影响系统
危害
远程攻击者可以利用漏洞获得敏感信息。
攻击所需条件
攻击者必须访问Barracuda IM Firewall。
漏洞信息
Barracuda IM Firewall是一款即时通讯控管设备。
Barracuda IM Firewall ‘smtp_test.cgi’不正确处理用户提交的输入,远程攻击者可以利用漏洞提交恶意脚本代码给URI参数,诱使用户解析,可导致恶意脚本代码在目标用户浏览器上执行,可获得用户敏感信息。
测试方法
http://www.example.com/cgi-mod/smtp_test.cgi?locale=en_US&host=undefined&port=undefined&domain=undefined&email=[Input Validation Vulnerability]&hostname=[Input Validation Vulnerability]&default_domain=[Input Validation Vulnerability]&user=guest&password=40aab35d3c647ad41f9e154ea7f15d13&et=1260212946
厂商解决方案
目前没有解决方案提供:
http://www.barracudanetworks.com/ns/products/im_overview.php
漏洞提供者
"Global-Evolution" Security (GESEC)
0 条评论。