发布日期:2014-06-25
更新日期:2014-06-26
受影响系统:
Symantec Data Insight 4.x
Symantec Data Insight 3.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 68160
CVE(CAN) ID: CVE-2014-3432
Symantec Data Insight是企业数据管理解决方案。
Symantec Data Insight 4.5之前版本没有正确验证或过滤管理控制台上某些表格的字段值,在实现上存在跨站脚本执行漏洞,未经身份验证的攻击者可诱使经过身份验证的用户单击恶意链接或在受影响字段注入恶意脚本利用此漏洞,成功利用后可造成任意html脚本执行。
<*来源:2am Research team
链接:?fid=security_advisory&pvid=secu
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Symantec
--------
Symantec已经为此发布了一个安全公告(SYM14-012)以及相应补丁:
SYM14-012:Security Advisories Relating to Symantec Products - Symantec Data Insight Management Console HTML Injection and Cross-Site Scripting
链接:?fid=security_advisory&pvid=secu
补丁下载:https://symantec.flexnetoperations.com/