Security Lab

Cross-Site Scripting в Plumtree Corporate Portal

Дата публикации:10.01.2002
Всего просмотров:999
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Plumtree Corporate Portal - портальный пакет, предназначенный для обеспечения структуры в большой корпоративной сети.

Сценарий error.asp, используемый для обработки сообщений об ошибках, уязвим к межсайтовому скриптингу. Злонамеренный пользователь может связаться с этим сценарием и включать javascript код в Description parameter, который будет выполнен в контексте страницы ошибки.

Уязвимость найдена в Plumtree Corporate Portal 4.5

Пример:
http:////common/error.asp?UserID=2&Description=%3CSCRIPT%20LANGUAGE%3DJAVASCRIPT%3Ealert%28%22Cross-Script%22%29%3B%3C/script%3e

Ссылки: http://www.plumtree.com/products/portal/