Endian Firewall version 3.3.25 and prior allow stored cross-site scripting (XSS) via the dscp parameter to /manage/qos/rules/. An authenticated attacker can inject arbitrary JavaScript that is stored and executed when other users view the affected page.
Endian Firewall versions 3.3.25 and earlier contain a stored XSS vulnerability in the QoS rules management interface via the dscp parameter. Authenticated attackers can inject malicious JavaScript that executes for all users viewing the affected page.
ثغرة XSS مخزنة في جدار حماية Endian تسمح للمهاجمين المصرحين بحقن كود JavaScript في معامل dscp بواجهة إدارة قواعد جودة الخدمة. يتم تخزين الكود الضار وتنفيذه عند وصول المستخدمين الآخرين إلى الصفحة المتأثرة. هذا يمكن أن يؤدي إلى سرقة بيانات الجلسة والتحكم غير المصرح به في إعدادات الشبكة.
جدران الحماية Endian الإصدار 3.3.25 وما قبله تحتوي على ثغرة XSS مخزنة في واجهة إدارة قواعد QoS عبر معامل dscp. يمكن للمهاجمين المصرحين بالوصول حقن كود JavaScript ضار يتم تنفيذه لجميع المستخدمين الذين يعرضون الصفحة المتأثرة.
Upgrade Endian Firewall to version 3.3.26 or later. Implement input validation and output encoding for the dscp parameter. Apply web application firewall rules to detect and block XSS payloads. Restrict administrative access to QoS management interfaces.
ترقية جدار حماية Endian إلى الإصدار 3.3.26 أو أحدث. تطبيق التحقق من صحة المدخلات وترميز المخرجات لمعامل dscp. تطبيق قواعد جدار حماية تطبيقات الويب للكشف عن حمولات XSS وحجبها. تقييد الوصول الإداري إلى واجهات إدارة QoS.