Межсайтовый скриптинг в RSA ClearTrust

Дата публикации:
19.03.2003
Всего просмотров:
839
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
RSA ClearTrust
Описание: Уязвимость в проверке правильности ввода обнаружена в RSA ClearTrust. Удаленный пользователь может выпонить XSS нападение.

Как сообщается, сценарий ct_logon.asp не фильтрует HTML код в пременных CTLoginErrorMsg и CTAuthMode. Уязвимость может использоваться для доступа к куки целевого пользователя. Пример:

https://[target]/cleartrust/ct_logon.asp?CTLoginErrorMsg=<script>alert(1)</script>

https://[target]/cleartrust/ct_ logon.asp?CTAuthMode=BASIC&CTLoginErrorMsg=xx&ct_orig_uri=">< script>alert(1)/script><"


Ссылки: Mordred Security Labs - RSA ClearTrust Cross Site Scripting issues
или введите имя

CAPTCHA