VULHUB ™

Sophos Cyberoam CR100iNG UTM、CR35iNG UTM和CR35iNG UTM都是英国Sophos公司的运行有CyberoamOS操作系统的新一代防火墙，它提供在线应用程序检测和控制、网页过滤、HTTPS检查、入侵防护等功能。 多款Sophos Cyberoam产品中存在跨站脚本漏洞，该漏洞源于corporate/webpages/trafficdiscovery/LiveConnections.jsp脚本没有充分过滤‘ipFamily’参数；corporate/webpages/trafficdiscovery/LiveConnectionDetail.jsp脚本没有充分过滤‘ipFamily’、‘applicationname’和‘username’参数；程序没有充分过滤X-Forwarded-For HTTP头。远程攻击者可利用该漏洞注入任意Web脚本或HTML。以下产品及版本受到影响：使用10.6.3 MR-1 build 503版本固件的Sophos Cyberoam CR100iNG UTM，使用10.6.2 MR-1 build 383版本固件的CR35iNG UTM，使用10.6.2 Build 378版本固件的CR35iNG UTM。

Sophos Cyberoam CR100iNG UTM、CR35iNG UTM和CR35iNG UTM都是英国Sophos公司的运行有CyberoamOS操作系统的新一代防火墙，它提供在线应用程序检测和控制、网页过滤、HTTPS检查、入侵防护等功能。 多款Sophos Cyberoam产品中存在跨站脚本漏洞，该漏洞源于corporate/webpages/trafficdiscovery/LiveConnections.jsp脚本没有充分过滤‘ipFamily’参数；corporate/webpages/trafficdiscovery/LiveConnectionDetail.jsp脚本没有充分过滤‘ipFamily’、‘applicationname’和‘username’参数；程序没有充分过滤X-Forwarded-For HTTP头。远程攻击者可利用该漏洞注入任意Web脚本或HTML。以下产品及版本受到影响：使用10.6.3 MR-1 build 503版本固件的Sophos Cyberoam CR100iNG UTM，使用10.6.2 MR-1 build 383版本固件的CR35iNG UTM，使用10.6.2 Build 378版本固件的CR35iNG UTM。