Универсальный XSS в Apache Web сервере

Дата публикации:
04.10.2002
Всего просмотров:
933
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: В Apache обнаружена возможность универсального межсайтового скриптинга. Уязвимость связанна с недостаточным санированием ввода пользователя перед созданием страницы ошибки. Атакующий может создать злонамеренную ссылку, при клике на которую снабженный код будет выполнен в контексте apache сайта. Пример:

http://%3CIMG%20SRC%3D%22%22%20ONERROR%3D%22alert%28document%2Ecookie%29%22%3E.apachesite.org/raise_404

Некоторые браузеры сообщают о некорректном заголовке пользователю, при разборе такого запроса:

Host:

<img src="" onerror="alert(document.cookie)">

уязвимость обнаружена в Apache Software Foundation Apache 1.3-1.3.26, 2.0-2.0.42

Ссылки: Apache 2 Cross-Site Scripting

или введите имя

CAPTCHA