VU#890999: Radware Alteon には、ホ... ノート

VU#890999: Radware Alteon には、ホストブラウザで JavaScript を実行できる反射型 XSS 脆弱性があります。

Radware Alteon のバージョン 34.5.4.0 には、反射型クロスサイトスクリプティング (XSS) の脆弱性が存在します。この脆弱性は、/protected/login ルートの ReturnTo パラメータに存在します。この脆弱性は、ユーザー入力を適切にサニタイズしないことに起因します。攻撃者は、ReturnTo パラメータに悪意のある JavaScript を注入することで、この脆弱性を悪用できます。ユーザーが SAML ログインページにリダイレクトされると、ロードバランサーはサニタイズされていないパラメータを反射します。この反射されたペイロードは、被害者のブラウザで実行されます。このエクスプロイトにより、攻撃者は機密データを盗んだり、不正な操作を実行したり、フィッシング攻撃を行ったりすることができます。また、影響を受ける Web サイトの評判を損なう可能性もあります。Radware はこの脆弱性を認識しており、バージョン 34.5.7.0 で修正を予定しています。ユーザーは、パッチが適用されるまで、入力を検証およびエンコードする必要があります。