Security Lab

Межсайтовый скриптинг в Aestiva HTML/OS

Дата публикации:06.09.2002
Всего просмотров:935
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Aestiva HTML/OS 2.x
Описание: Aestiva HTML/OS – механизм базы данных и среда разработчика для создания Web сайтов и Web основанных программ.

HTML/OS не фильтрует метасимволы в страницах ошибки. Атакующий может создать злонамеренную ссылку, которая выполнит произвольный код сценария в контексте посещенного сайта. Уязвимость может использоваться для кражи куки или организации других атак.

Пример:

http://www.example.com/pages/htmlos/%3Cscript%3Ealert(document.domain);%3C/script%3E 
http://www.example.com/cgi-bin/erba/start/%3Cscript%3Ealert(document.domain);%3C/script%3E 
http://www.exmaple.com/cgi-bin/start.cgi/%3Cscript%3Ealert(document.domain);%3C/script%3E 
Уязвимость обнаружена в Aestiva HTML/OS 2.4
Ссылки: Cross-Site Scripting in Aestiva's HTML/OS