Endian Firewall version 3.3.25 and prior allow stored cross-site scripting (XSS) via the REMARK parameter to /cgi-bin/openvpnclient.cgi. An authenticated attacker can inject arbitrary JavaScript that is stored and executed when other users view the affected page.
Endian Firewall versions 3.3.25 and earlier contain a stored XSS vulnerability in the OpenVPN client configuration page that allows authenticated attackers to inject malicious JavaScript. The vulnerability affects the REMARK parameter in /cgi-bin/openvpnclient.cgi and executes when other users access the page.
تسمح هذه الثغرة للمستخدمين المصرحين بحقن رمز JavaScript ضار في معامل REMARK الذي يتم تخزينه في قاعدة البيانات. عند وصول مستخدمين آخرين إلى صفحة تكوين عميل OpenVPN، يتم تنفيذ الرمز الضار في متصفحاتهم، مما قد يؤدي إلى سرقة الجلسات أو بيانات اعتماد المسؤول.
جدار حماية Endian الإصدار 3.3.25 وما قبله يحتوي على ثغرة XSS مخزنة في صفحة تكوين عميل OpenVPN تسمح للمهاجمين المصرحين بحقن JavaScript ضار. تؤثر الثغرة على معامل REMARK في /cgi-bin/openvpnclient.cgi وتنفذ عند وصول المستخدمين الآخرين إلى الصفحة.
Upgrade Endian Firewall to version 3.3.26 or later. Implement input validation and output encoding for all user-supplied parameters, particularly the REMARK field. Apply Web Application Firewall (WAF) rules to detect and block XSS payloads. Restrict administrative access to trusted networks only.
قم بترقية جدار حماية Endian إلى الإصدار 3.3.26 أو أحدث. طبق التحقق من صحة المدخلات وترميز المخرجات لجميع المعاملات المزودة من قبل المستخدم، خاصة حقل REMARK. طبق قواعد جدار تطبيقات الويب (WAF) للكشف عن حمولات XSS وحجبها. قيد الوصول الإداري على الشبكات الموثوقة فقط.