ManageEngine SupportCenter Plus HomePage.do fromCustomer 参数 XSS
medium Nessus 插件 ID 62785
语言:
简介
远程 Web 服务器托管一个受到跨站脚本漏洞影响的应用程序。描述
安装在远程主机上的 ManageEngine SupportCenter Plus 版本受跨站脚本漏洞影响,因为它未能正确审查用户向“HomePage.do”脚本的“fromCustomer”参数提供的输入。攻击者可利用此问题将任意 HTML 和脚本代码注入用户的浏览器,并在受影响站点的安全环境中执行。据报告此应用程序受到任意文件上传漏洞和持久性跨站脚本漏洞的影响,但是 Nessus 尚未针对这些漏洞进行测试。
解决方案
升级到版本 7.9.0 Build 7910 或更高版本。另见
插件详情
严重性: Medium
ID: 62785
文件名: manageengine_supportcenter_fromcustomer_xss.nasl
版本: 1.6
类型: remote
系列: CGI abuses : XSS
发布时间: 2012/11/1
最近更新时间: 2021/1/19
支持的传感器: Nessus
漏洞信息
CPE: cpe:/a:manageengine:supportcenter_plus
必需的 KB 项: www/manageengine_supportcenter
排除的 KB 项: Settings/disable_cgi_scanning
可利用: true
易利用性: Exploits are available
补丁发布日期: 2012/7/13
漏洞发布日期: 2012/10/17
参考资料信息
BID: 56095