Межсайтовый скриптинг в WebCT Campus Edition

Дата публикации:
30.03.2004
Всего просмотров:
1137
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
WebCT Campus Edition 4.x
Уязвимые версии: WebCT 4.1.1.5

Описание: Уязвимость обнаружена в WebCT Campus Edition. Удаленный пользователь может выполнить XSS нападение. БЗЮ Программа не фильрует HMTL код в данных, представленных пользователем, при создании новых сообщений. Удаленный пользователь моежет внедрить код сценария внутри CSS @import url() параметра (только в Microsoft Internet Explorer).

Пример/Эксплоит:

<style type="text/css">
@import url(javascript:alert(document.cookie));
</style>

URL производителя:http://www.webct.com/products/viewpage?name=products_campus_edition

Решение:Установите соответствующее обновление:

WebCT CE 4.1 SP2 Hotfix 40832
http://download.webct.com/ce+/4.1/hotfixes/41sp2_hotfix_rel_notes.html

WebCT CE 4.0 SP3 Hotfix 40833
http://download.webct.com/ce+/4.0/hotfixes/40sp3_hotfix_rel_notes.html

WebCT CE 3.8.4 Hotfix 8
http://download.webct.com/ce+/3.8/hotfixes/384 _hotfix_rel_notes.html


Ссылки: WebCT Campus Edition 4.1 - Cross site scripting using CSS @import
или введите имя

CAPTCHA