Nortel SSL VPN跨站脚本/命令执行漏洞

漏洞信息详情

Nortel SSL VPN跨站脚本/命令执行漏洞

• CNNVD编号：CNNVD-200512-228
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2005-4197
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2005-12-13
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-01-12
  
• 厂        商：
  
  nortel
• 漏洞来源：
  Daniel Fabian d.f…

Nortel SSL VPN是远程访问安全解决方案，可以使用安全套接字层(SSL)做为基础安全协议。

Nortel的SSL VPN的WEB界面没有充分的验证用户输入，因此攻击者可以在某些页面的链接中隐藏命令。由于从这些页面中所调用的Java Applet是经过加密签名的，因此可能以使用浏览器用户的权限执行任意系统命令。

来源: BID

名称: 15798

链接:http://www.securityfocus.com/bid/15798

来源: BUGTRAQ

名称: 20051212 SEC Consult SA-20051211-0 :: Nortel SSL VPN Cross Site Scripting/Command Execution

链接:http://www.securityfocus.com/archive/1/archive/1/419263/100/0/threaded

来源: MISC

链接:http://www.sec-consult.com/247.html

来源: VUPEN

名称: ADV-2005-2845

链接:http://www.frsirt.com/english/advisories/2005/2845

来源: SECTRACK

名称: 1015341

链接:http://securitytracker.com/id?1015341

来源: SECUNIA

名称: 17974

链接:http://secunia.com/advisories/17974