Уязвимость в проверке правильности ввода обнаружена в RSA SecurID ACE Agent. Удаленный пользователь может украсть секретную фразу SecurID удаленного пользователя.
Сообщается, что система переадресации RSA ACE/Agent должным образом не обрабатывает некоторые символы в пользовательских данных, перед формированием страницы, которая содержит пользовательские данные. Удаленный пользователь может сконструировать специально обработанный URL, содержащий произвольный HTML код, который будет выполнен в браузере пользователя, просматривающего эту ссылку, в контексте уязвимого ACE/Agent сайта. Код может использоваться для контроля секретной фразы SecurID или другой чувствительной информации. Пример:
GET /"><script>document.location="http://foo.foo"</script> HTTP/1.0
Уязвимость обнаружена в RSA SecurID ACE/Agent 5.0 for Windows, 5.x for Web.
