发布日期：2009-06-03
更新日期：2009-06-05

受影响系统：

Cisco IronPort AsyncOS 6.5.1

不受影响系统：

Cisco IronPort AsyncOS 6.5.2

描述：

---

BUGTRAQ  ID: 35203
CVE(CAN) ID: CVE-2009-1162

IronPort系列产品是广泛使用的邮件加密网关，AsyncOS是该产品所使用的操作系统，专门用于处理并发通讯的瓶颈以及基于文件的邮件队列的限制。

AsyncOS的垃圾邮件隔离功能的登录页面没有正确地过滤用户所提交的请求，如果远程攻击者提交了带有referrer参数的特制登录请求的话，就可以执行跨站脚本攻击，导致在用户浏览器会话中注入并执行任意代码。

<*来源：Secunia
  
  链接：http://secunia.com/advisories/34895/
        http://tools.cisco.com/security/center/viewAlert.x?alertId=18365
*>

建议：

---

厂商补丁：

Cisco
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.cisco.com/warp/public/707/advisory.html

浏览次数：2415
严重程度：0（网友投票）