VU#890999:Radware Alteon 存在反射型... 笔记

VU#890999:Radware Alteon 存在反射型跨站脚本(XSS)漏洞,该漏洞可在主机浏览器中执行 JavaScript 代码。

Radware Alteon 在版本 34.5.4.0 中存在一个反射型跨站脚本(XSS)漏洞。该缺陷位于 /protected/login 路由的 ReturnTo 参数中,根源在于未能对用户输入进行适当的清理。攻击者可通过在 ReturnTo 参数中注入恶意 JavaScript 加以利用。当用户被重定向至 SAML 登录页面时,负载均衡器会反射未清理的参数,导致该反射载荷在受害者的浏览器中执行。此漏洞使攻击者能够窃取敏感数据、执行未经授权的操作用户,并实施网络钓鱼攻击,同时可能损害受影响网站的声誉。Radware 已确认该漏洞,并计划在版本 34.5.7.0 中发布修复方案。在补丁应用之前,用户应验证并编码输入数据。