RSA Authentication Manager XSS sérülékenysége
Angol cím: 
RSA Authentication Manager Input Validation Flaws Let Remote Users Conduct Cross-Site Scripting Attacks
CERT-Hungary ID: 
CH-14452
Felfedezés dátuma: 
2018-06-15
Összefoglaló: 

Az RSA Authentication Manager sérülékenységei váltak ismertté, amelyeket kihasználva a támadók cross-site scripting(XSS) támadásokat hajthatnak végre.

Leírás: 

A sérülékenység oka, hogy az Operations Console és a Security Console nem megfelelően ellenőrzi a HTML kódot a felhasználó által megadott bemeneten. A távoli felhasználó speciálisan szerkesztett kódot futtathat a felhasználó böngészőjében. A kód az RSA Authentication Manager szoftvert futtató webhely segítségével, annak jogosultságaival fog futni az Operations Console és a Security Console környezetben. A támadó hozzáférhet a felhasználó hitelesítési sütijeihez, és a felhasználó nevében különböző műveleteket hajthat végre.

Megoldás: 
Frissítsen a legújabb verzióra
Érintett verziók: 
RSA Authentication Manager 8.3 P1 előtti verziók.