Межсайтовый скриптинг в Macromedia ColdFusion

Дата публикации:
22.09.2003
Всего просмотров:
1272
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Macromedia ColdFusion MX 6.x
Macromedia ColdFusion 5.x
Уязвимые версии: ColdFusion 5.0-6.1

Описание: Уязвимость в проверке правильности входных данных обнаружена в Macromedia ColdFusion в обработчике ошибок по умолчанию. Удаленный пользователь может выполнить XSS нападение.

Удаленный атакующий может внедрить произвольный код сценария в заголовок HTTP refer, чтобы выполнить XSS нападение. Уязвимы сайты использующие ColdFusionMX Site-Wide Error Handler страницу или ColdFusionMX Missing Template Handler страницу.

URL производителя: http://www.macromedia.com/devnet/security/security_zone/mpsb03-06.html

Решение: Установите соответствующие заплаты: 1. для ColdFusion MX 6.0 (All editions), обновите до 6.1: http://www.macromedia.com/software/coldfusion/productinfo/upgrade/

2. Затем для ColdFusion MX 6.1 (All edtions), установите 6.1 Default Site-wide Error Handler page (12 KB ZIP): http://download.macromedia.com/pub/security/coldfusion/61/mpsb03-06_6_1.zip

Для ColdFusion 5.0 и более ранних версий (All edtions), установите следующий Site-wide Error handler page (1 KB ZIP): http://download.macromedia.com/pub/security/coldfusion/mpsb0 3-06_errorpage.zip

Ссылки: Security Bulletin

или введите имя

CAPTCHA