Межсайтовый скриптинг в Working Resources BadBlue
| Дата публикации: | 11.07.2002 |
| Всего просмотров: | 1084 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | Working Resources BadBlue– web сервер для Windows. Любой прямой запрос к процессу EXT.DLL, переадресуется к фунции cleanSearchString. Результат отображается в браузере следующим образом:
document.write(cleanSearchString('<>'));
<input type=hidden name=a0 value="<>">
Т.е. удаленный атакующий может включить произвольный код сценария, которые будет выполнен в браузере пользователя в контексте уязвимого сайта. Пример:
"hi"'));alert("ZING!!!");document.write(cleanSearchString('a
"><script>alert("ZING!!!");</script><
уязвимость обнаружена в Working Resources Inc. BadBlue Personal Edition 1.7.3
|
| Ссылки: | BadBlue 1.73 EXT.DLL XSS Variant |