发布日期：2024-08-22
更新日期：2024-11-19

受影响系统：

Forcepoint Web Security < 8.5.6

描述：

---

CVE(CAN) ID: CVE-2023-6452

Forcepoint Web Security是美国Forcepoint公司的一个安全平台，通过内容感知防御以及云应用程序发现和监控提供强大的保护。
Forcepoint Web Security 8.5.6之前版本事务查看器（Transaction Viewer）的“user agent”字段存在存储型跨站脚本漏洞，Forcepoint Web Security 门户允许管理员就通过 Web 代理发出的用户请求生成详细报告，任何能够通过 Forcepoint Web 代理路由流量的用户都可以利用该漏洞，未授权攻击者能够在 Forcepoint 管理员的浏览器上下文中执行 JavaScript，以管理员身份执行操作，可能导致未授权访问或修改，造成重大安全风险。

<**>

建议：

---

厂商补丁：

Forcepoint
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://support.forcepoint.com/s/article/000042212

浏览次数：106
严重程度：0（网友投票）