BDU:2017-02184

Опубликовано: 03 апр. 2017

Источник: fstec

CVSS2: 4.3

EPSS Низкий

Описание

Уязвимость параметра scriptName метода licenseKeyInfo средства антивирусной защиты Kaspersky Anti-Virus for Linux File Server существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить файлы атакуемой системы

Вендор

АО «Лаборатория Касперского»

Наименование ПО

Kaspersky Anti-Virus for Linux File Server

Версия ПО

до 8.0.4.312 включительно (Kaspersky Anti-Virus for Linux File Server)

Тип ПО

Программное средство защиты

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Linux -

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:

http://packetstormsecurity.com/files/143190/Kaspersky-Anti-Virus-File-Server-8.0.3.297-XSS-CSRF-Code-Execution.html

http://seclists.org/fulldisclosure/2017/Jun/33

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9813
CVE
http://www.securitytracker.com/id/1038798
Security Tracker
http://www.securityfocus.com/bid/99330
BID

EPSS

Процентиль: 88%

0.03675

Низкий

4.3 Medium

CVSS2

Связанные уязвимости

CVE-2017-9813

CVSS3: 6.1

nvd

больше 8 лет назад

In Kaspersky Anti-Virus for Linux File Server before Maintenance Pack 2 Critical Fix 4 (version 8.0.4.312), the scriptName parameter of the licenseKeyInfo action method is vulnerable to cross-site scripting (XSS).

GHSA-frjc-25jh-7996