XMLHTTP Control позволяет доступ к локальным файлам

Дата публикации:
22.02.2002
Всего просмотров:
969
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Microsoft XML Core Services (MSXML) включает XMLHTTP ActiveX control, который позволяет web-страницам в браузере посылать или получать XML данные через операции POST, GET, и PUT. Управление обеспечивает меры защиты, разработанные для ограничения web-страниц, так что они могут только использовать управление, чтобы запросить данные из удаленных источников данных. Недостаток существует в том, как XMLHTTP control применяет параметры настройки зоны безопасности IE к переназначенному потоку данных, возвращенному в ответ на запрос данных от сайта. В результате уязвимости нападающий может определять источник данных, который находится на локальной системе пользователя и посылать эту информацию на злонамеренный Web сайт. Уязвимость нельзя эксплуатировать через HTML электронную почту. Также нападающий должен знать полный путь и имя файла, который он хочет прочитать. Наконец, эта уязвимость не дает нападающему способность добавлять, изменять или удалять данные.

Уязвимость найдена в Microsoft XML Core Services 2.0, 4.0

или введите имя

CAPTCHA