Межсайтовый скриптинг в Macromedia ColdFusion
| Дата публикации: | 22.09.2003 |
| Всего просмотров: | 1555 |
| Опасность: | Низкая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Межсайтовый скриптинг |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
Macromedia ColdFusion MX 6.x
Macromedia ColdFusion 5.x |
| Уязвимые версии: ColdFusion 5.0-6.1
Описание: Уязвимость в проверке правильности входных данных обнаружена в Macromedia ColdFusion в обработчике ошибок по умолчанию. Удаленный пользователь может выполнить XSS нападение. Удаленный атакующий может внедрить произвольный код сценария в заголовок HTTP refer, чтобы выполнить XSS нападение. Уязвимы сайты использующие ColdFusionMX Site-Wide Error Handler страницу или ColdFusionMX Missing Template Handler страницу. URL производителя: http://www.macromedia.com/devnet/security/security_zone/mpsb03-06.html Решение: Установите соответствующие заплаты: 1. для ColdFusion MX 6.0 (All editions), обновите до 6.1: http://www.macromedia.com/software/coldfusion/productinfo/upgrade/ 2. Затем для ColdFusion MX 6.1 (All edtions), установите 6.1 Default Site-wide Error Handler page (12 KB ZIP): http://download.macromedia.com/pub/security/coldfusion/61/mpsb03-06_6_1.zip Для ColdFusion 5.0 и более ранних версий (All edtions), установите следующий Site-wide Error handler page (1 KB ZIP): http://download.macromedia.com/pub/security/coldfusion/mpsb0 3-06_errorpage.zip |
|
| Ссылки: | Security Bulletin |