Risque
- Élévation de privilèges
Systèmes affectés
NetScreen-SA IVE de la version 3.0 à la version 3.3.1 présent sur les produits VPN NetScreen 5000.
Résumé
Une vulnérabilité de type « cross site scripting » a été découverte sur l'interface d'administration des produits VPN NetScreen-SA séries 5000.
Description
Une vulnérabilité de type « cross site scripting » sur le script CGI delhomepage.cgi de l'interface d'administration des produits VPN NetScreen-SA séries 5000 permet à un utilisateur mal intentionné d'exécuter un script sur le poste client d'un utilisateur authentifié sur ce produit.
Solution
Un correctif est disponible sur le site de support de NetScreen (cf. section documentation) pour les sections suivantes :
- 3.2.1 Patch 1-S2
- 3.3-S1
- 3.3 Patch 1-S1
- 3.3.1-S1
Documentation
- Avis de sécurité de NetScreen : http://www.netscreen.com/services/security/alerts/ive_xss.txt
- Correctifs de NetScreen : https://support.neoteris.com
- Note d'information sur les vulnérabilités de type Cross Site Scripting (CERTA-2002-INF-001) : http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-001/index.html