Межсайтовый скриптинг в продуктах Xythos

Дата публикации:
28.06.2007
Всего просмотров:
2242
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2007-3254
CVE-2007-3255
CVE-2007-3256
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Xythos Enterprise Document Management Suite 6.x
Xythos Enterprise Document Management Suite 5.x
Xythos WebFile Server 5.x
Xythos WebFile Server 6.x
Xythos Enterprise Document Manager 5.x
Xythos Enterprise Document Manager 6.x
Xythos Digital Locker 5.x
Xythos Digital Locker 6.x
Уязвимые версии:
Xythos Digital Locker 5.x
Xythos Digital Locker 6.x
Xythos Enterprise Document Management Suite 5.x
Xythos Enterprise Document Management Suite 6.x
Xythos Enterprise Document Manager 5.x
Xythos Enterprise Document Manager 6.x
Xythos WebFile Server 5.x
Xythos WebFile Server 6.x

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение.

1. Уязвимость существует из-за недостаточной обработки имени сохраняемого Workflow. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует из-за недостаточной обработки входных данных в значении "Content-Type" файла. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта, когда пользователь просматривает свойства файла.

3. Уязвимость существует из-за недостаточной обработки имени файла при загрузке файлов. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: www.xythos.com

Решение: Установите последнюю версию 5.0.25.8 или 6.0.46.1 с сайта производителя.

Ссылки: Multiple Vulnerabilities in Xythos Server Products

или введите имя

CAPTCHA