NetGain EM 存储型跨站脚本(XSS)漏洞

时间:2018-7-4 分享到:
厂商 NetGain EM 存储型跨站脚本(XSS)漏洞
产品 NetGain EM FreeEdition
受影响的版本 v10.0.9b51及之前版本
测试版本 v10.0.9b51
厂商通知日期 2018-05-02
预警公告日期 2018-04-30【无技术细节】
厂商确认日期
厂商修复日期
公开披露日期
最新修正日期 2018-04-30
CVE ID CVE-2018-10586
产品描述 NetGain是一款IT监控软件。它提供了业内最全面的监测范围之一。NetGain 系统于2002年发布,是IT监控和保护业务的先驱,并在新加坡,中国,印度尼西亚,泰国,马来西亚和澳大利亚都建立了支持团队。
发现者 Enrico Winata,  安全研究员和渗透测试人员@wizlynx group

Tan Peng Fei Eddie, 安全研究员和渗透测试人员@wizlynx group

Tan Peng Fei Eddie,安全研究员和渗透测试人员@wizlynx group

 

漏洞描述


    远程命令执行漏洞
    严重程度:     CVSS 分数: 4.8     CWE-ID: CWE-79     状态: 未修复
    漏洞详情
    在NetGain EM上运行的Web应用程序受到多个存储的跨站点脚本(XSS)漏洞的影响,该漏洞可能影响10.0.9以及之前的版本。这些漏洞可能允许已验证身份的恶意攻击者针对正在访问受影响应用程序的基于Web管理界面的其他用户执行存储的跨站点脚本(XSS)攻击。该漏洞是由于受影响设备的基于Web管理界面对用户提供的输入验证不足而产生的,攻击者可以利用此漏洞来引导用户点击设计好的链接或浏览受影响的页面。成功利用此漏洞可使攻击者在接口环境中执行任意脚本代码,或允许攻击者访问基于浏览器的敏感信息。
    CVSS基准分
    攻击媒介     网络     范围     变化
    攻击复杂度     低     保密性影响     低
    所需特权     高     一致性影响     低
    用户互动     需要     可用性影响     无

详情


一旦厂商提供补丁,就会披露有关该漏洞的全面细节

 

版权所有:http://www.wizlynxgroup.cn 转载请注明出处