Trend Micro Control Manager ‘ApHost’参数跨站请求伪造漏洞

漏洞起因
输入验证错误
危险等级

 
影响系统
Trend Micro Control Manager 5.5 Build 1250
 
不受影响系统
 
危害
远程攻击者可以利用漏洞获得敏感信息或劫持用户会话。
 
攻击所需条件
攻击者必须构建恶意链接,诱使用户解析。
 
漏洞信息
Trend Micro Control Manager(TMCM)是趋势科技提供的集中安全管理控制台,可以对趋势科技产品与服务进行统一协调。
通过"ApHost参数传递给/commoncgi/servlet/CCGIServlet的输入在返回用户之前缺少正确过滤,攻击者可以利用漏洞进行跨站脚本攻击,可获得敏感信息或劫持用户会话。
 
测试方法
 
厂商解决方案
用户可联系供应商获得hotfix 1435补丁程序修补此漏洞:
http://us.trendmicro.com/us/products/enterprise/control-manager/
 
漏洞提供者
Sow Ching Shiong through Secunia.

发表评论?

0 条评论。

发表评论