漏洞起因
输入验证错误
危险等级
低
影响系统
CA Arcot WebFort Versatile Authentication Server 6.2.4
不受影响系统
CA Arcot WebFort Versatile Authentication Server 6.2.5
危害
远程攻击者可以利用漏洞获得敏感信息或劫持用户会话。
攻击所需条件
攻击者必须构建恶意链接或WEB页,诱使用户解析。
漏洞信息
CA Arcot WebFort Versatile Authentication Server允许用户在有效集中的方式下部署强壮的验证方式。
由于不充分过滤发送给Arcot管理控制台的请求参数,攻击者可以诱使用户点击恶意链接或查看WEB页,进行跨站脚本攻击,可获得敏感信息或劫持用户会话。
测试方法
厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
https://support.ca.com/irj/portal/anonymous/phpsupcontent?contentID={A71F5839-D214-4719-B918-4476E4537998}
漏洞提供者
Daniel Stirnimann, Compass Security AG.
漏洞消息链接
http://seclists.org/fulldisclosure/2011/Apr/426
0 条评论。