受影响系统:
Sophos Web Protection Appliance
描述:
BUGTRAQ ID: 58832
CVE(CAN) ID: CVE-2013-2642
Sophos Web Security and Control 在网关处阻止网页数据流中的恶意程序、间谍软件、钓鱼,匿名代理和其他流氓程序。
Web Protection Appliance 3.7.8.1 及之前版本存在多个目录注入漏洞,攻击者可利用这些漏洞以spiderman操作系统用户权限,获取敏感信息并执行任意命令。
<*来源:Wolfgang Ettlinger *>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
POST /index.php?c=diagnostic_tools HTTP/1.1 Host:
POST /index.php?c=local_site_list_editor HTTP/1.1 Host:
https://www.example.com/end-user/index.php?reason=application&client-ip=%20%60sleep+10%60
建议:
厂商补丁:
Sophos
——
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.sophos.cn/products/enterprise/web/security-and-control/
评论关闭。