发布日期：2014-06-25
更新日期：2014-06-26

受影响系统：

Symantec Data Insight 4.x
Symantec Data Insight 3.x

描述：

---

BUGTRAQ  ID: 68161
CVE(CAN) ID: CVE-2014-3433

Symantec Data Insight是企业数据管理解决方案。

Symantec Data Insight 4.5之前版本没有正确验证或过滤管理控制台上某些表格的字段值，在实现上存在HTML注入漏洞，未经身份验证的攻击者可诱使经过身份验证的用户单击恶意链接或在受影响字段注入恶意脚本，成功利用此漏洞后可造成任意html脚本执行。

<*来源：2am Research team
  
  链接：http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=secu
*>

建议：

---

厂商补丁：

Symantec
--------
Symantec已经为此发布了一个安全公告（SYM14-012）以及相应补丁:
SYM14-012：Security Advisories Relating to Symantec Products - Symantec Data Insight Management Console HTML Injection and Cross-Site Scripting
链接：http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=secu

补丁下载：https://symantec.flexnetoperations.com/

浏览次数：2684
严重程度：0（网友投票）