Sophos Anti-Virus for Linux Web UI 跨站脚本漏洞

漏洞信息详情

Sophos Anti-Virus for Linux Web UI 跨站脚本漏洞

• CNNVD编号：CNNVD-201407-524
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2014-2385
  
• 漏洞类型：
  
  
  跨站脚本
  
• 发布时间：
  
  2014-07-23
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-07-23
  
• 厂        商：
  
  sophos
• 漏洞来源：

Sophos Anti-Virus for Linux是英国Sophos公司的一套用于Linux操作系统的反病毒软件。该软件可实时侦测和清除病毒、间谍软件、木马和蠕虫，确保台式机和笔记本电脑的全面网络保护。

Sophos Anti-Virus for Linux 9.5.1及之前版本的Web UI中存在两个跨站脚本漏洞，这些漏洞源于exclusion/configure脚本没有充分过滤‘newListList：ExcludeFileOnExpression’、‘newListList：ExcludeFilesystems’、‘newListList：ExcludeMountPaths’参数，notification/configure脚本没有充分过滤‘text：EmailServer’和‘newListList：Email’参数。远程攻击者可利用这些漏洞执行任意Web脚本或HTML。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.sophos.com/en-us/support/knowledgebase/121135.aspx

来源:FULLDISC

链接:http://seclists.org/fulldisclosure/2014/Jun/126

来源:SECTRACK

链接:http://www.securitytracker.com/id/1030467

来源:www.sophos.com

链接:http://www.sophos.com/en-us/support/knowledgebase/121135.aspx

来源:www.portcullis-security.com

链接:https://www.portcullis-security.com/security-research-and-downloads/security-advisories/cve-2014-2385/