Security Lab

Межсайтовый скриптинг в FatWire UpdateEngine

Дата публикации:28.12.2005
Всего просмотров:2081
Опасность:
Низкая
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: FatWire UpdateEngine 6.x
Уязвимые версии: FatWire UpdateEngine 6.2 и более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных в параметрах "FUELAP_TEMPLATENAME", "EMAIL" и "COUNTRYNAME" в "UpdateEngine". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

/UpdateEngine?FUELAP_OP=FUELOP_NewScreen&PAGE_ID
=FWS%5FPAGE%5F1399202&FUELAP_SITEDBID=SITE%5F%2D
66&ACTIVITY_ID=FWS%5FWHITEPAPERS%5F1404733&COUNT
RY_ID=INTSITE%5F1167494&CAMPAIGN_ID=SFCAMPAIGN%5
F%2D1&COUNTRYNAME=us&SOURCEPAGE_ID=FWS%5FPAGE%5F1
415379&FUELAP_TEMPLATENAME=[XSS]

/UpdateEngine?FUELAP_OP=FUELOP_NewScreen&FUELAP_
TEMPLATENAME=fws%5FforgotpasswordForm&SOURCEPAGE_
ID=FWS%5FPAGE%5F1150486&PAGE_ID=FWS%5FPAGE%5F1402
412&EMAIL=[XSS]&CAMPAIGN_ID=SFCAMPAIGN%5F%2D1&COU
NTRY_ID=INTSITE%5F1167494&ERROR=error&ACTIVITY_ID
=FWS%5FWHITEPAPERS%5F1300483&COUNTRYNAME=us&FUELA
P_SITEDBID=SITE%5F%2D66&

/UpdateEngine?FUELAP_OP=FUELOP_NewScreen&FUELAP_TE
MPLATENAME=fws%5FforgotpasswordForm&SOURCEPAGE_ID=
FWS%5FPAGE%5F1150486&PAGE_ID=FWS%5FPAGE%5F1402412&
EMAIL=&CAMPAIGN_ID=SFCAMPAIGN%5F%2D1&COUNTRY_ID=IN
TSITE%5F1167494&ERROR=error&ACTIVITY_ID=FWS%5FWHIT
EPAPERS%5F1300483&COUNTRYNAME=[XSS]

/UpdateEngine?FUELAP_OP=FUELOP_NewScreen&FUELAP_TE
MPLATENAME=[XSS]

URL производителя: www.fatwire.com

Решение: Способов устранения уязвимости не существует в настоящее время.

Источник:

Ссылки: Fatwire UpdateEngine 6.2 multiple XSS vuln.