IronPort AsyncOS垃圾邮件隔离功能登录页面漏洞
来源:岁月联盟
时间:2009-06-25
更新日期:2009-06-05
受影响系统:
Cisco IronPort AsyncOS 6.5.1
不受影响系统:
Cisco IronPort AsyncOS 6.5.2
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 35203
CVE(CAN) ID: CVE-2009-1162
IronPort系列产品是广泛使用的邮件加密网关,AsyncOS是该产品所使用的操作系统,专门用于处理并发通讯的瓶颈以及基于文件的邮件队列的限制。
AsyncOS的垃圾邮件隔离功能的登录页面没有正确地过滤用户所提交的请求,如果远程安全者提交了带有referrer参数的特制登录请求的话,就可以执行跨站脚本安全,导致在用户浏览器会话中注入并执行任意代码。
<*来源:Secunia
链接:http://secunia.com/advisories/34895/
http://tools.cisco.com/security/center/viewAlert.x?alertId=18365