发布日期:2012-09-17
更新日期:2012-09-19
受影响系统:
Trend Micro InterScan Messaging Security Suite 7.x
描述:
--------------------------------------------------------------------------------
CVE ID: CVE-2012-2996,CVE-2012-2995
InterScan Messaging Security Suite for SMTP (简称IMSS)是趋势科技为企业IT网络资源提供一套高性能、基于策略的网关安全过滤解决方案,架设于企业的 SMTP 对外网关上。
Trend Micro InterScan Messaging Security Suite 7.1-Build_Win32_1394及其他版本存在多个安全漏洞,攻击者可利用这些漏洞执行跨站脚本执行和请求伪造攻击。
1)应用允许用户通过HTTP请求执行某些操作,而不执行任何请求验证操作,如果管理员用户浏览恶意网站,可被利用创建具有管理员权限的任意用户。
2)通过initUpdSchPage.imss内的"src"参数传递的输入没有正确过滤即被返回给用户,可被利用在受影响站点的用户浏览器中执行HTML和脚本代码。
<*来源:Tom Gregory
链接:
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Trend Micro
-----------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: