Firewall Analyzer es una herramienta de ManageEngine que se utiliza para analizar logs, configuraciones y reportes de seguridad de distintos firewalls. Existe una vulnerabilidad XSS que afecta al login del demo, que no ha podido ser comprobada en la versión full (pagada). La vulnerabilidad afecta al archivo errorPage.do al recibir un mensaje de error […]
Firewall Analyzer es una herramienta de ManageEngine que se utiliza para analizar logs, configuraciones y reportes de seguridad de distintos firewalls. Existe una vulnerabilidad XSS que afecta al login del demo, que no ha podido ser comprobada en la versión full (pagada).
La vulnerabilidad afecta al archivo errorPage.do al recibir un mensaje de error mediante la variable errorMsg. Como es de costumbre, es de los clasicos archivos de error que reciben el error mediante una varialbe y simplemente lo muestra, sin filtrarlo y escapar los caracteres especiales, permitiendo que el atacante pueda inyectar código javascript.
La URL original al generar un error es:
http://demo.fwanalyzer.com/fw/errorPage.do?errorMsg=java.sql.SQLException
El cual genera un mensaje de error al momento de intentar iniciar sesión
Entonces cerramos el tag <table> e inyectamos nuestro javascript
La vulnerabilidad #2378 ha sido reportada a ManageEngine.
Hace un tiempo el Servicio Electoral de Chile (SERVEL), obligado por una ley, puso a disposición de todos la información de aproximadamente 13 millones de chilenos correspondiente al padrón electoral. Los archivos ya no se encuentran disponible en la dirección anterior y tampoco existe un link desde el sitio web.