Множественные уязвимости в Google Mini Search Appliance

Дата публикации:
22.11.2005
Дата изменения:
17.10.2006
Всего просмотров:
2262
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2005-3754
CVE-2005-3755
CVE-2005-3756
CVE-2005-3757
CVE-2005-3758
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Google Mini Search Appliance
Уязвимые версии: Gogle Mini Search Appliance

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и выполнить произвольный код на целевой системе.

1. Межсайтовый скриптинг возможен из-за недостаточной обработки входных данных в параметре "proxystylesheet". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный HTML код в браузере жертвы в контексте безопасности уязвимого сайта.

2. Недостаточно обрабатывается таблица стилей XSLT, указанная в параметре "proxystylesheet". Удаленный пользователь может выполнить произвольные методы Java класса посредством специально сформированной таблицы стилей XSLT.

3. Удаленный пользователь может определить открытые порты на целевой системе, указав полный URL, содержащий имя хоста и номера портов.

4. Удаленный пользователь может определить существования файла на целевой системе, указав относительный путь к файлу в параметре "proxystylesheet".

URL производителя: www.google.com/enterprise/mini/index.html

Решение: Установите исправление с сайта производителя.

Источник:

Ссылки: Google Search Appliance proxystylesheet Flaws

или введите имя

CAPTCHA