SpamTitan用户处在跨网站脚本漏洞的危险中

2014/06/30

根据国土证券计算机应急响应小组(US-CERT),SpamTitan存有反映跨网站脚本(XSS)漏洞。SpamTitan是用于监控电子邮件并减少垃圾邮件和其他威胁的服务器系统。

该漏洞是在管理界面auth-settings-x.php页面中发现的。它将允许攻击者通过sort dir目录参数在用户的浏览器中加载恶意脚本。

跨网站脚本漏洞允许第三方操作在用户浏览器中的web应用程序的内容或行为,不影响地层系统。跨网站脚本漏洞经常被使用来对付网站特定的用户,来盗取他们的登录信息或进行欺骗攻击。

SpamTitan客户应该应用SpamTitan发布的6.04补丁来解决该漏洞问题。

您应该只允许受信任的主机和网络连接。限制访问并不会阻止XSS或CSRF的攻击,因为这攻击是来自合法用户主机的请求。然而,限制访问可以防止攻击者使用盗用的登录信息来访问web界面。

Tags:

Write a comment

Name
Comment