BDU:2014-00227

Опубликовано: 30 июл. 2012

Источник: fstec

CVSS2: 4.3

Описание

Уязвимость средства антивирусной защиты Dr.Web Enterprise Security Suite позволяет осуществить XSS-атаку из-за недостаточной проверки имени пользователя в компоненте Web-администратора на странице входа в систему, прежде чем имя пользователя будет возвращено пользователю. Это может позволить злоумышленнику при помощи специально созданного запроса на аутентификацию внедрить произвольный код сценария в журнал аудита. Произвольный JavaScript будет выполнен в браузере пользователя, просматривающего журнал аудита

Вендор

ООО «Доктор Веб»

Наименование ПО

Dr.Web Enterprise Security Suite

Версия ПО

6.0 (Dr.Web Enterprise Security Suite)

Тип ПО

Программное средство защиты

Операционные системы и аппаратные платформы

Microsoft Corp Windows .

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)

Возможные меры по устранению уязвимости

Установка обновления, доступного на сайте производителя: http://news.drweb.com/?i=2612&c=8&lng=en&p=0

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

http://osvdb.org/show/osvdb/84356

Идентификаторы других систем описаний уязвимостей

http://osvdb.org/84356
OSVDB
http://secunia.com/advisories/50082/
Secunia Advisory
http://www.exploit-db.com/exploits/20124/
Exploit Database

4.3 Medium

CVSS2

4.3 Medium

CVSS2