Межсайтовый скриптинг в Liferay Portal Enterprise

Дата публикации:
24.12.2005
Дата изменения:
17.10.2006
Всего просмотров:
1222
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Liferay Portal Enterprise 3.x
Уязвимые версии: Liferay Portal Enterprise 3.6.1 и более ранние версии

Описание:
Удаленный пользователь может произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных в параметрах "_77_struts_action", "p_p_mode" и "p_p_state" в сценарии "portal_ent" и в нескольких параметрах в модуле поиска. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный HTML код в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

/web/guest/downloads/portal_ent?p_p_id=77
& p_p_action=1&p_p_state=maximized&p_p_mod
e=view&p_p_col_order=null&p_p_col_pos=2&p
_p_col_count=3&_77_struts_action=[XSS]

/web/guest/downloads/portal_ent?p_p_id=77
& p_p_action=1&p_p_state=maximized&p_p_mod
e=[XSS]

/web/guest/downloads/portal_ent?p_p_id=77
& p_p_action=1&p_p_state=[XSS]

URL производителя: liferay.com

Решение: Способов устранения уязвимости не существует в настоящее время.

Источник:

Ссылки: Liferay Portal Enterprise 3.6.1 XSS

или введите имя

CAPTCHA