Security Lab

Межсайтовый скриптинг в Microsoft Content Management Server

Дата публикации:11.10.2002
Дата изменения:09.03.2009
Всего просмотров:946
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Microsoft Content Management Server 2001
Уязвимые версии: Microsoft Content Management Server 2001

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных в параметре "REASONTXT" в сценарии ManualLogin.asp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

http://www.example.com/NR/System/Access/ManualLogin.asp? REASONTXT=<script>alert(document.cookie);window.open ("http://attacker.site.example.com");</SCRIPT>

URL производителя: www.microsoft.com

Решение: Установите исправление с сайта производителя.

download.microsoft.com/download/5/9/3/5936344a-480c-4343-bcea-b3f6aa25fa23/mcms2001srp2.exe

Журнал изменений:

09.03.2009
Изменено описание уязвимости.

Ссылки: CSS on Microsoft Content Management Server
MS03-002: Cumulative Patch for Microsoft Content Management Server (810487)