Same-origin policy bypass vulnerabilities in several VPN

2009-12-07 / 2009-12-08
Credit: Juha-Matti Laurio
Risk: Medium
Local: No
Remote: Yes
CVE: CVE-2009-2631
CWE: CWE-264


Ogólna skala CVSS: 6.8/10
Znaczenie: 6.4/10
Łatwość wykorzystania: 8.6/10
Wymagany dostęp: Zdalny
Złożoność ataku: Średnia
Autoryzacja: Nie wymagana
Wpływ na poufność: Częściowy
Wpływ na integralność: Częściowy
Wpływ na dostępność: Częściowy

Vulnerabilities in several clientless SSL VPN products have been reported. Gathering authentication cookies etc. is reportedly possible. At time of writing US-CERT's advisory lists the status of about 90 vendors. US-CERT Vulnerability Note VU#261869: http://www.kb.cert.org/vuls/id/261869 Severity metric is remarkable high: 45,00. This issue is CVE-2009-2631. Juha-Matti

Referencje:

http://www.kb.cert.org/vuls/id/261869
http://xforce.iss.net/xforce/xfdb/54523
http://www.stonesoft.com/en/support/security_advisories/2009_03_12.html
http://www.sonicwall.com/us/2123_14883.html
http://www.sonicwall.com/us/2123_14882.html
http://www.securityfocus.com2000/bid/37152
http://www.securityfocus.com/archive/1/archive/1/508164/100/0/threaded
http://seclists.org/fulldisclosure/2006/Jun/238


See this note in RAW Version
Vote for this issue:
50%
50%

Comment it here.
Copyright 2025, cxsecurity.com

 

Back to Top