Удаленный пользователь может узнать реальное имя IIS сервера в HTTP заголовке, в независимости от того, защищен ли сервер инструментом URLScan. Проблема происходит, когда нападающий выполняет HTTP запрос к IIS Web серверу при включенном HTTPS протоколе. Часть возвращенного заголовка будет содержать потенциально чувствительную информацию.
Уязвимость обнаружена в Microsoft URLScan 2.5
