漏洞起因
跨站脚本错误
危险等级
中
影响系统
Juniper JUNOS 11.4
EmbedThis AppWeb Webserver 3.2.3
不受影响系统
危害
远程攻击者可以利用漏洞进行跨站脚本攻击,获取敏感信息。
CVSSv2:
攻击所需条件
攻击者必须访问Juniper Networks JUNOS。
漏洞信息
Juniper Networks JUNOS是一款Juniper网络公司的系列边界路由器等所运行的操作系统。
Juniper Networks JUNOS通过监听443端口的EmbedThis AppWeb Webserver 3.2.3来进行管理,由于不充分过滤index.php “error”参数数据,允许远程攻击者利用漏洞进行跨站脚本攻击,可获取客户端会话,窃取令牌,窃取验证信息,执行管理员任务等。
测试方法
https://xxx.xxx.xxx.xxx/index.php?name=Your_Account&error=1%22%3E%3Cscript%3Ealert%281538%29%3C%2Fscript%3E&uname=bGF
https://xxx.xxx.xxx.xxx/index.php?name=Your_Account&error=1%22%3E%3Cscript%3Ealert%28″HACKED”%29%3C%2Fscript%3E&uname=bGF
安全建议
厂商解决方案
EmbedThis AppWeb Webserver 4.4.1已经修复该漏洞,建议用户下载更新:
http://www.juniper.net
http://freecode.com/projects/appweb
漏洞提供者
Andrea Bodei
评论关闭。