Межсайтовый скриптинг в Escapade

Дата публикации:
15.09.2003
Всего просмотров:
787
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Раскрытие системных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Escapade 0.x

Уязвимые версии: Escapade 0.x

Описание: Уязвимость обнаружена в Escapade. Удаленный пользователь может выполнить XSS нападение.

Удаленный атакующий может запросить несуществующий ресурс со специально обработанным параметром "PAGE", чтобы заставить Escapade выполнить произвольный код сценария и отобразить реальный путь к "esp-pages/" каталогу.

Пример/Эксплоит: 1. XSS

http://[victim]/cgi-bin/esp?PAGE=<script>alert(document.domain)</script>
2. Раскрытие пути:
http://[target]/cgi-bin/esp?PAGE=!@#$%

URL производителя:http://www.escapade.org/

Решение:

Способов устранения обнаруженной уязвимости не существует в настоящее время. Фильтруйте злонамеренный ввод в http прокси с возможностью URL фильтрации.

Ссылки: Escapade Scripting Engine XSS Vulnerability and Path Disclosure
или введите имя

CAPTCHA