TIBCO Managed File Transfer产品会话固定和跨站脚本漏洞

漏洞起因
输入验证错误
危险等级
低

影响系统
TIBCO Slingshot 1.8
TIBCO Managed File Transfer Internet Server 7.1
TIBCO Managed File Transfer Command Center 7.1

不受影响系统

危害
远程攻击者可以利用漏洞获得敏感信息，或劫持用户会话。

攻击所需条件
攻击者必须访问TIBCO Managed File Transfer。

漏洞信息
TIBCO Managed File Transfer是一款企业级点对点文件传输方案。
TIBCO Managed File Transfer产品存在多个安全漏洞，允许恶意用户进行跨站脚本和会话固定攻击。
1)部分未明输入在返回用户之前缺少过滤，可被利用在目标用户浏览器上执行任意HTML和脚本代码。
2)处理会话存在一个错误，构建恶意链接，诱使登录用户点击，可劫持目标用户会话。

测试方法

厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息：
http://www.tibco.com/services/support/advisories/mft-slingshot-advisory_20110913.jsp
http://www.tibco.com/multimedia/mft-slingshot_advisory_20110913_tcm8-14340.txt

漏洞提供者
TIBCO

← Siemens SIMATIC WinCC Runtime Loader缓冲区溢出漏洞

TYPO3 Core TYPO3-CORE-SA-2011-002未明SQL注入漏洞 →

ZeroBox Vulnerability Database

坚持！我们将做的更好！

TIBCO Managed File Transfer产品会话固定和跨站脚本漏洞

0 条评论。

发表评论