VTS22-014

Veritas Desktop and Laptop Option (DLO) 中的反射型跨站脚本攻击 (XSS) 漏洞

修订历史记录

  • 1.0:2022 年 9 月 5 日:初始版
  • 1.1:2022 年 10 月 11 日:增加了 CVE ID

摘要

在 Desktop and Laptop Option (DLO) 中发现了反射型跨站脚本攻击漏洞。

问题

摘要

反射型跨站脚本攻击 (XSS) 漏洞会影响 Desktop and Laptop Option (DLO) 应用程序登录页面。该漏洞可让未经身份验证的远程攻击者将任意 Web 脚本注入 HTTP 参数,这会因在网页生成过程中出现不当的中和输入 (CWE-79) 而影响未净化的用户输入内容。

受影响的端点

  • https://{Host}/DLOServer/restore/login.jsp

受影响的版本

Veritas Desktop and Laptop Option (DLO) 版本 9.7、9.6、9.5、9.4、9.3.3、9.3.2、9.3.1、9.3、9.2、9.1。不受支持的早期版本可能也会受到影响。

补救措施

签署了当前维护合同的客户应更新到 Desktop and Laptop Option (DLO) 版本 9.8。
有关可用更新,请查看 Veritas 下载中心: https://www.veritas.com/support/zh_CN/downloads

疑问

如有关于这些漏洞的疑问或问题,请联系 Veritas 技术支持 (https://www.veritas.com/support/zh_CN)

鸣谢

Veritas 衷心感谢 Buguard 的 Ahmed Ibrahim 告知我们此漏洞。

 

免责声明

本安全公告按“原样”提供,对于所有明示或暗示的条款、陈述和保证,包括任何适销性、针对特定用途的适用性或未侵权的暗示保证,均不提供任何担保,除非此类免责声明的范围在法律上视为无效。Veritas Technologies LLC 不对任何与提供、执行或使用本文档相关的伴随或后果性损害负责。本文档所含信息如有更改,恕不另行通知。

Veritas Technologies LLC

2625 Augustine Drive

Santa Clara, CA 95054