Отраженная уязвимость межсайтового скриптинга в справочной функции IDENTIKEY Authentication Server

Консультативный ID Васко-SA-20150903-ИПИ

Номер ревизии 1,0

Дата выпуска 23 марта 2015 г. 19:42 UTC + 1

Последнее обновление 25 марта 2015 г. 19:42 UTC + 1

Резюме

Аудиторы информационной безопасности от компании Security BV лично сообщил об уязвимости межсайтового скриптинга, которая присутствует в справочной функции установок сервера аутентификации IDENTIKEY и IDENTIKEY (Virtual) Appliance.

Затронутые продукты

Следующие продукты подвержены этой уязвимости:

  • IDENTIKEY (виртуальное) устройство версии 3.8 и более ранние
  • Сервер аутентификации IDENTIKEY версии 3.8 и более ранние

Описание

Раздел веб-администрирования IDENTIKEY Authentication Server и IDENTIKEY (Virtual) Appliance также содержит функцию справки. Функция справки доступна в подкаталоге раздела веб-администрирования. В этой справочной функции была обнаружена уязвимость межсайтового скриптинга.

Чтобы открыть справку на определенной странице, в качестве части URL-адреса раздела справки можно передать специальный параметр. При замене значения этого параметра на специально созданный вектор атаки межсайтового скриптинга, вектор атаки будет выполняться в контексте браузера конечного пользователя.

Оценка серьезности

В приведенных ниже таблицах указана оценка уязвимости CVSS 2.0 для различных уязвимостей.

Базовая оценка CVSS: 4,3
Вектор доступа Сложность доступа Аутентификация Влияние на конфиденциальность Влияние целостности Влияние доступности
сеть средний Никто частичный Никто Никто

 

Исправления продукта

OneSpan исправит эти уязвимости в следующих выпусках

  • IDENTIKEY (виртуальное) устройство 3.9
  • IDENTIKEY сервер аутентификации 3.9

Место расположения

Клиенты с контрактом на техническое обслуживание могут получить фиксированные выпуски продуктов от MyMaintenance.
Клиенты без контракта на техническое обслуживание должны связаться с местным торговым представителем.

Ссылка

OneSpan высоко оценивает усилия тех, кто занимается безопасностью, которые помогают нам защищать клиентов посредством скоординированного раскрытия уязвимостей Смотрите наш Зал славы для получения дополнительной информации.

Правовая оговорка

Хотя все разумные усилия предпринимаются для обработки и предоставления информации, которая является точной, все содержание и информация в этом документе предоставляются "как есть" и "как доступно", без какого-либо представительства или поддержки и без каких-либо явных или подразумеваемых гарантий валюты, ПОЛНОСТЬЮ ИЛИ ПРИГОДНОСТИ ИЛИ ЛЮБОЙ ГАРАНТИИ, ВКЛЮЧАЯ ГАРАНТИИ ТОВАРНОГО ОБЕСПЕЧЕНИЯ ИЛИ ПРИГОДНОСТИ ДЛЯ ОСОБЕННОГО ИСПОЛЬЗОВАНИЯ ИЛИ ЦЕЛИ. ВЫ ИСПОЛЬЗУЕТЕ ЭТОТ ДОКУМЕНТ, ПРЕДОСТАВЛЯЕТСЯ ЛЮБАЯ ИНФОРМАЦИЯ ИЛИ МАТЕРИАЛЫ, СВЯЗАННЫЕ С ЭТОМ ДОКУМЕНТОМ, НА СВОЙ СТРАХ И РИСК. VASCO оставляет за собой право изменять или обновлять информацию в этом документе в любое время и по своему усмотрению, а также когда новая или дополнительная информация становится доступной.

Copyright © 2015 VASCO Data Security, Inc., VASCO Data Security International GmbH. Все права защищены.

🖨 Отраженная уязвимость межсайтового скриптинга в справочной функции IDENTIKEY Authentication Server