Межсайтовый скриптинг в Apache Tomcat

Дата публикации:
15.06.2007
Дата изменения:
10.02.2009
Всего просмотров:
2831
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2007-2450
CVE-2007-2449
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Apache Tomcat 4.x
Apache Tomcat 5.x
Apache Tomcat 6.x
Уязвимые версии:
Apache Tomcat версии до 4.1.HEAD
Apache Tomcat версии до 5.5.25
Apache Tomcat версии до 6.0.14

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение.

1. Уязвимость существует из-за недостаточной обработки входных данных в JSP примерах Web приложения. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

http://[target]:[port]/jsp-examples/snp/snoop.jsp;<script>alert()</script>test.jsp

2. Уязвимость существует также в Tomcat Manager и Host Manager. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: tomcat.apache.org

Решение: Установите последнюю версию с сайта производителя.

Журнал изменений:

10.02.2009
Изменено описание уязвимостей.

Ссылки: http://tomcat.apache.org/security-4.html
http://tomcat.apache.org/security-5.html
http://tomcat.apache.org/security-6.html
http://jvn.jp/jp/JVN%2307100457/index.html

или введите имя

CAPTCHA