Межсайтовый скриптинг в нескольких Macromedia Flash приложениях

Дата публикации:
16.04.2003
Всего просмотров:
895
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Уязвимость обнаружена в нескольких Macromedia Flash приложениях. Злонамеренная Web страница может заставить Flash содержание выполнить произвольный код сценария.

Одна из особенностей Flash, позволяет внедрять 'clickTAG' тэг, для прослеживания пользователей в рекламных целях. Тэг 'clickTAG' не проходит проверку правильности, в результате чего удаленный пользователь может внедрить произвольный код cценария в этот тэг.

Удаленный пользователь может создать злонамеренную HTML страницу, содержащую специально обработанное значение clickTAG в Flash приложении. В результате удаленный пользователь может выполнить произвольный код сценария в браузере пользователя, который может использоваться для организации различных нападений против Web приложения. Пример:

http://www.example.com/victim.swf?clickTag=XXXX
 
XXX – произвольный код сценария.

Ссылки: Misuse of Macromedia Flash Ads clickTAG Option May Lead to Privacy Breach
или введите имя

CAPTCHA