发布日期：2004-03-02
更新日期：2004-03-04

受影响系统：

NetScreen NetScreen-SA 5000 Series

描述：

---

CVE(CAN) ID: CVE-2004-0347

NetScreen-SA 5000包含功能强大的SSL VPN应用。

NetScreen-SA 5000 SSL VPN应用包含的'delhomepage.cgi'CGI程序对'row'参数缺少充分过滤，远程攻击者可以利用这个漏洞进行脚本注入攻击，可获得目标用户敏感信息。

通过提交恶意脚本代码到'delhomepage.cgi'脚本，当管理员或其他用户查看此链接时，会导致恶意脚本在用户浏览器上执行，会使攻击者窃取如会话COOKIE等敏感信息。

<*来源：Lachniet, Mark （mlachniet@sequoianet.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=107826362024112&w=2
*>

建议：

---

厂商补丁：

NetScreen
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.netscreen.com

浏览次数：2733
严重程度：0（网友投票）