Red Hat Network Satellite Server描述字段HTML注入漏洞

漏洞起因
输入验证错误
危险等级

影响系统
Red Hat Network Satellite Server (for RHEL 6) 5.4
Red Hat Network Satellite Server (for RHEL 5) 5.4

不受影响系统

危害
远程攻击者利用漏洞进行跨站脚本攻击,获得敏感信息。

攻击所需条件
攻击者必须访问Red Hat Network Satellite Server。

漏洞信息
Red Hat Network Satellite Server是一款系统管理解决方案。
Red Hat Network Satellite web接口中’System Details’ => ‘Details’ => ‘Custom Info’页面没有正确过滤分配给特定系统的资产标签/key中的描述字段(通过’Custom System Info页创建),通过验证的Red Hat Network Satellite用户可利用这个缺陷通过特制的资产’Custom System Info’ key执行任意HTML或WEB脚本代码。

测试方法

厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
https://bugzilla.redhat.com/show_bug.cgi?id=742050

漏洞提供者
William Hoffmann