关键漏洞信息 I. 漏洞 类型: 反射型XSS攻击 受影响版本: F-Secure Messaging Security Gateway V7.5.0.892 II. 背景 F-Secure Messaging Security Gateway是一款用于保护公司机密数据的系统,可以自动阻塞或加密包含机密数据的消息。 III. 描述 漏洞详情: 在F-Secure Messaging Security Gateway中检测到反射型XSS漏洞。 注入点: 参数“NEW”在页面“/admin?module=SysUser&method=user&new=” IV. 概念验证 问题: 应用程序未正确验证参数“NEW”。 示例: - URL: - 代码: V. 业务影响 攻击者可以在目标用户的浏览器中执行任意HTML或脚本代码,这允许在受害者用户的浏览器上下文中执行任意HTML/脚本代码并创建新用户管理员。 VI. 受影响系统 测试版本: F-Secure Messaging Security Gateway V7.5.0.892 虚拟设备 VII. 解决方案 应用程序接收到的用户可以修改的所有数据在进行任何交易之前必须正确验证。 升级到7.5.0 Patch 1862已应用于所有F-Secure Messaging Secure Gateway集群。 VIII. 参考资料 http://www.f-secure.com/en/web/labs_global/fsc-2014-2