VU#890999: Radware Alteon имеет уязвимость отраженного XSS, которая может выполнять JavaScript в браузере хоста
В Radware Alteon версии 34.5.4.0 обнаружена уязвимость отраженного межсайтового скриптинга. Эта уязвимость заключается в параметре ReturnTo маршрута /protected/login. Уязвимость возникает из-за неправильной очистки пользовательского ввода. Злоумышленники могут использовать это, внедряя вредоносный JavaScript в параметр ReturnTo. Когда пользователь перенаправляется на страницу входа SAML, балансировщик нагрузки отражает неочищенный параметр. Затем этот отраженный полезный нагрузка выполняется в браузере жертвы. Эксплуатация позволяет злоумышленникам красть конфиденциальные данные, выполнять несанкционированные действия и проводить фишинговые атаки. Это также может нанести ущерб репутации затронутого веб-сайта. Radware признала уязвимость и планирует исправить ее в версии 34.5.7.0. Пользователям следует проверять и кодировать ввод до установки исправления.