漏洞标题
N/A
漏洞描述信息
## 概述
F5 FirePass SSL VPN中的多个跨站脚本(XSS)漏洞允许远程攻击者通过特定参数注入任意Web脚本或HTML。
## 影响版本
未具体提及受影响的版本。
## 细节
### 漏洞位置
1. `xcho` 参数 - `my.logon.php3`
2. `topblue`, `midblue`, `wtopblue` 和其他某些自定义颜色参数 - `vdesk/admincon/index.php`
3. `h321`, `h311`, `h312` 和其他某些前端自定义文本颜色参数 - `vdesk/admincon/index.php`
4. `ua` 参数 - `vdesk/admincon/index.php`
5. `app_param` 和 `app_name` 参数 - `webyfiers.php`
6. 双重 eval 函数
7. `<FP_DO_NOT_TOUCH>` 元素中的 JavaScript
8. `vhost` 参数 - `my.activation.php`
### 注意
可能存在与 CVE-2006-3550 重叠的情况。
## 影响
这些漏洞可能导致攻击者通过注入恶意脚本或HTML来执行跨站脚本攻击,从而获取敏感信息或干扰用户操作。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Multiple cross-site scripting (XSS) vulnerabilities in F5 FirePass SSL VPN allow remote attackers to inject arbitrary web script or HTML via (1) the xcho parameter to my.logon.php3; the (2) topblue, (3) midblue, (4) wtopblue, and certain other Custom color parameters in a per action to vdesk/admincon/index.php; the (5) h321, (6) h311, (7) h312, and certain other Front Door custom text color parameters in a per action to vdesk/admincon/index.php; the (8) ua parameter in a bro action to vdesk/admincon/index.php; the (9) app_param and (10) app_name parameters to webyfiers.php; (11) double eval functions; (12) JavaScript contained in an <FP_DO_NOT_TOUCH> element; and (13) the vhost parameter to my.activation.php. NOTE: it is possible that this candidate overlaps CVE-2006-3550.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
F5 Firepass 'my.logon.php3' 多个跨站攻击漏洞
漏洞描述信息
F5 FirePass SSL VPN中存在多个跨站攻击漏洞。远程攻击者可以借助提交到my.logon.php3的(1)xcho参数,per操作中提交到vdesk/admincon/index.php的(2)topblue,(3)midblue,(4)wtopblue和特定的其他顾客颜色参数,到vdesk/admincon/index.php的(5)h321,(6)h311,(7)h312和特定的其他前门顾客正文颜色参数,bro操作中到vdesk/admincon/index.php的(8)ua参数,到w
CVSS信息
N/A
漏洞类别
跨站脚本