CVE-2014-9606

**Nome do software vulnerável e versões afetadas:

Netsweeper versões 3.1.9 e anteriores

Netsweeper versões 4.0.x a 4.0.8

Netsweeper versões 4.1.x a 4.1.1

Descrição:

Várias vulnerabilidades de cross-site scripting (XSS) permitem que invasores remotos injetem scripts da web ou HTML arbitrários por meio de vários parâmetros, incluindo o parâmetro server em “remotereporter/load logfiles.php”, o parâmetro customctid em “webadmin/policy/category table ajax.php”, o parâmetro urllist em “webadmin/alert/alert.php”, o QUERY STRING para “webadmin/ajaxfilemanager/ajax get file listing.php” ou o PATH INFO para “webadmin/policy/policy table ajax.php/”.

Recomendações:

Para as versões 3.1.9 e anteriores do Netsweeper, atualize para a versão 3.1.10 ou posterior.

Para as versões 4.0.x a 4.0.8 do Netsweeper, atualize para a versão 4.0.9 ou posterior.

Para as versões 4.1.x a 4.1.1 do Netsweeper, atualize para a versão 4.1.2 ou posterior.

Como solução temporária, considere restringir o acesso aos pontos de extremidade da API vulneráveis até que um patch esteja disponível.