Межсайтовый скриптинг в Apache Tomcat
| Дата публикации: | 15.06.2007 |
| Дата изменения: | 10.02.2009 |
| Всего просмотров: | 3179 |
| Опасность: | Низкая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: |
CVE-2007-2450 CVE-2007-2449 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Межсайтовый скриптинг |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
Apache Tomcat 4.x
Apache Tomcat 5.x Apache Tomcat 6.x |
| Уязвимые версии: Apache Tomcat версии до 4.1.HEAD Apache Tomcat версии до 5.5.25 Apache Tomcat версии до 6.0.14 Описание: 1. Уязвимость существует из-за недостаточной обработки входных данных в JSP примерах Web приложения. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример: http://[target]:[port]/jsp-examples/snp/snoop.jsp;<script>alert()</script>test.jsp 2. Уязвимость существует также в Tomcat Manager и Host Manager. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. URL производителя: tomcat.apache.org Решение: Установите последнюю версию с сайта производителя. Журнал изменений:
10.02.2009 |
|
| Ссылки: |
http://tomcat.apache.org/security-4.html http://tomcat.apache.org/security-5.html http://tomcat.apache.org/security-6.html http://jvn.jp/jp/JVN%2307100457/index.html |