Endian Firewall version 3.3.25 and prior allow stored cross-site scripting (XSS) via the remark parameter to /cgi-bin/dnat.cgi. An authenticated attacker can inject arbitrary JavaScript that is stored and executed when other users view the affected page.
Endian Firewall versions 3.3.25 and earlier contain a stored XSS vulnerability in the DNAT configuration interface that allows authenticated attackers to inject malicious JavaScript through the remark parameter. When other users access the affected page, the injected script executes in their browsers, potentially compromising session security and enabling unauthorized actions.
تسمح هذه الثغرة للمهاجمين المصرحين بحقن رمز JavaScript ضار في حقل الملاحظات بواجهة DNAT. يتم تخزين الرمز المحقون في قاعدة البيانات وتنفيذه في متصفح أي مستخدم يعرض الصفحة المتأثرة. يمكن استخدام هذا الهجوم للسرقة من جلسات العمل أو تنفيذ إجراءات غير مصرح بها نيابة عن المستخدمين.
جدار حماية Endian الإصدار 3.3.25 وما قبله يحتوي على ثغرة XSS مخزنة في واجهة إعدادات DNAT تسمح للمهاجمين المصرحين بحقن JavaScript ضار عبر معامل الملاحظات. عند وصول المستخدمين الآخرين إلى الصفحة المتأثرة، ينفذ البرنامج النصي المحقون في متصفحاتهم، مما قد يعرض أمان الجلسة للخطر.
Update Endian Firewall to version 3.3.26 or later immediately. Implement input validation and output encoding for all user-supplied parameters in the DNAT configuration interface. Apply Web Application Firewall (WAF) rules to detect and block XSS payloads. Restrict administrative access to trusted networks and enforce strong authentication mechanisms.
قم بتحديث جدار حماية Endian إلى الإصدار 3.3.26 أو أحدث فوراً. طبق التحقق من صحة المدخلات وترميز المخرجات لجميع المعاملات المزودة من قبل المستخدم في واجهة إعدادات DNAT. طبق قواعد جدار الحماية لتطبيقات الويب (WAF) للكشف عن حمولات XSS وحجبها. قيد الوصول الإداري إلى الشبكات الموثوقة وفرض آليات المصادقة القوية.