Symantec Web Gateway 多個漏洞

在 Symantec Web Gateway 發現多個漏洞，遠端使用者可利用漏洞進行跨網站指令碼攻擊，進行跨網站請求偽造攻擊，插入 SQL 指令及控制受影響系統。

1. 遠端使用者存取 Symantec Web Gateway (SWG) 控制台界面，可使用提升的權限執行指令。
2. 在顯示輸入前，軟件沒有正確過濾由使用者提供輸入的 HTML 碼。遠端使用者可利用目標使用者的瀏覽器執行任意指令碼。程式碼將來自執行 Symantec Web Gateway 軟件的網站及將執行在該網站的安全內容。因此，程式碼將是能夠存取目標用戶的 cookies (包括驗證 cookies)，如果存在的話，與網站相關，存取最近由目標使用者通過網頁表單提交到該網站的數據，或作為目標用使用者在網站上行動。
3. 遠端使用者可進行跨網站請求偽造攻擊，作為目標使用者在目標網站行動。
4. 已認證的遠端使用者可提供特製參數值，在基礎數據庫執行 SQL 指令。
5. sudoer 檔案設定容許已認證的遠端使用者使用 sudo 授權執行沒有授權的指令。
6. 遠端使用者存取 SWG 控制台，可利用 Radius 認證漏洞，在目標系統執行任意碼。