公告编号:【2024年第2期 安全通告】作者:管理员发布日期:2024/03/13
【2024年第2期 安全通告】贝锐易维某界面存在url跳转漏洞
漏洞概述
服务端未对传入的跳转url变量进行检查和控制,可能导致可恶意构造任意一个恶意地址,诱导用户跳转到恶意网站。由于是从可信的站点跳转出去的,用户会比较信任,所以跳转漏洞一般用于钓鱼攻击,通过转到恶意网站欺骗用户输入用户名和密码盗取用户信息,或欺骗用户进行金钱交易。
版本和修复
产品名称 | 受影响版本 | 修复方案 |
贝锐易维网站 | ---- | ---- |
影响后果
可能会被用于钓鱼攻击,通过转到恶意网站欺骗用户输入用户名和密码盗取用户信息,或欺骗用户进行金钱交易。
漏洞详情
服务端未对传入的跳转url变量进行检查和控制,导致可存构造任意一个恶意url地址进行跳转。
规避措施
漏洞已修复
版本获取途径
无关
漏洞来源
该漏洞由贝锐安全应急响应中心收录
声明
您自贝锐下载使用的任何软件/补丁均为贝锐和/或其供应商的版权作品,未经贝锐允许,您不得向其他第三方披露相关信息,且除用于服务目的外,您不得将软件/补丁进一步修复制、修改、分发、公布、许可、转让、销售或通过反编译等方式尝试提取其源代码。本文件不承诺任何明示、默示和法定的担保,包括但不限于对适销性、适用性及不侵权的担保。在任何情况下,上海贝锐信息科技股份有限公司对任何损失,包括直接,间接,偶然,必然的商业利润损失或特殊损失均不承担责任。您以任何方式使用本文件所产生的一切法律责任由您自行承担。贝锐可以随时对本文件的内容和信息进行修改或更新。
更新记录
无
