Межсайтовое выполнение сценариев в OpenWFE

Дата публикации:
27.10.2004
Всего просмотров:
1005
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2004-1630
CVE-2004-1631
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Спуфинг атака
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
OpenWFE 1.x
Уязвимые версии: OpenWFE 1.4.х

Описание:
Обнаружено межсайтовое выполнение сценариев в OpenWFE в компоненте web клиента. Удаленный атакующий может получить важные данные пользователей.

Приложение некорректно фильтрует входные данные параметра URL в 'Login Form'. Удаленный атакующий может создать специально сформированную ссылку, которая при загрузке клиентом, выполнит произвольный HTML код в браузере. Пример:

rmi://localhost:7080/workSessionServer"><script>alert(document.cookie)</s cript>

rmi://<h1>hi</h1>:7099/workSessionServer

Также возможно сканирование портов на произвольных хостах с помощью специально сформированного ‘rmi’ URL. Пример:

rmi://<hostname>:<port>/location

Полагаясь на время и содержимое ответа от OpenWFE удаленный атакующий может определить состояние порта на удаленном хосте.

URL производителя: www.openwfe.org

Решение: Установите обновление
sourceforge.net/cvs/?group_id=54621

Ссылки: Two Vulnerabilities in OpenWFE

или введите имя

CAPTCHA