Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Check Point VPN-1 UTM Edge Requête Cross-Site Forgée Vulnérabilité

27/06/2007 19H48
Référence Secunia : SA25853 
Date de publication : 2007-06-27

Risque : Non Critique. Niveau 2 sur 5.
Impact : Cross Site Scripting
Lieu : A distance


Solutions :
Correctif de l'éditeur

OS :
Check Point VPN-1 UTM Edge

Description :
Une vulnérabilité a été rapportée dans Check Point VPN-1 UTM Edge, qui pourrait être exploitée par des personnes malintentionnées pour conduire des attaques par requêtes cross-site forgées.

La vulnérabilité est causée du fait que l'interface d'administration du matériel permet aux utilisateurs de réaliser certaines actions via des requêtes HTTP sans réaliser de vérifications de validité pour vérifier la requête. Cela pourrait être exploité par ex. pourajouter des utilisateurs ou changer le mot de passe de l'administrateur en incitant un administrateur authentifié à visiter un site malicieux.



La vulnérabilité est rapportée dans Checkpoint VPN-1 Edge X avec Embedded NGX version 7.0.33.


Solutions :
Mettre à jour pour la dernière version.


Vulnérabilité découverte par :

Henri Lindberg et Jussi Vuokko, Louhi Networks Oy

Référence :
http://www.louhi.fi/advisory/checkpoint_070626.txt


Autres références :

SA25822:
http://secunia.com/advisories/25822/




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.