Juniper Networks JUNOS EmbedThis AppWeb web服务器跨站脚本漏洞

日期: 2013/11/18 | 标签:juniper | 游览：427

漏洞起因
跨站脚本错误
危险等级
中

影响系统
Juniper JUNOS 11.4
EmbedThis AppWeb Webserver 3.2.3

不受影响系统

危害
远程攻击者可以利用漏洞进行跨站脚本攻击，获取敏感信息。
CVSSv2:

攻击所需条件
攻击者必须访问Juniper Networks JUNOS。

漏洞信息
Juniper Networks JUNOS是一款Juniper网络公司的系列边界路由器等所运行的操作系统。
Juniper Networks JUNOS通过监听443端口的EmbedThis AppWeb Webserver 3.2.3来进行管理，由于不充分过滤index.php “error”参数数据，允许远程攻击者利用漏洞进行跨站脚本攻击，可获取客户端会话，窃取令牌，窃取验证信息，执行管理员任务等。

测试方法
https://xxx.xxx.xxx.xxx/index.php?name=Your_Account&error=1%22%3E%3Cscript%3Ealert%281538%29%3C%2Fscript%3E&uname=bGF
https://xxx.xxx.xxx.xxx/index.php?name=Your_Account&error=1%22%3E%3Cscript%3Ealert%28″HACKED”%29%3C%2Fscript%3E&uname=bGF
安全建议

厂商解决方案
EmbedThis AppWeb Webserver 4.4.1已经修复该漏洞，建议用户下载更新：
http://www.juniper.net
http://freecode.com/projects/appweb

漏洞提供者
Andrea Bodei

← OWASP Java Encoder跨站脚本过滤器安全绕过漏洞

WordPress Kernel Theme ‘upload-handler.php’任意文件上传漏洞 →

ZeroBox Vulnerability Database

坚持！我们将做的更好！

Juniper Networks JUNOS EmbedThis AppWeb web服务器跨站脚本漏洞

评论关闭。