Межсайтовый скриптинг в Working Resources BadBlue

Дата публикации:
11.07.2002
Всего просмотров:
745
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Working Resources BadBlue– web сервер для Windows.

Любой прямой запрос к процессу EXT.DLL, переадресуется к фунции cleanSearchString. Результат отображается в браузере следующим образом:

document.write(cleanSearchString('<>'));
<input type=hidden name=a0 value="<>">
Т.е. удаленный атакующий может включить произвольный код сценария, которые будет выполнен в браузере пользователя в контексте уязвимого сайта. Пример:
"hi"'));alert("ZING!!!");document.write(cleanSearchString('a 
"><script>alert("ZING!!!");</script><
уязвимость обнаружена в Working Resources Inc. BadBlue Personal Edition 1.7.3

Ссылки: BadBlue 1.73 EXT.DLL XSS Variant
или введите имя

CAPTCHA