Security Lab

Межсайтовый скриптинг в Instant Virtual Extranet позволяет удаленному пользователю внедриться в чужую сессию

Дата публикации:16.05.2003
Всего просмотров:949
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Уязвимость в проверке правильности ввода обнаружена в Instant Virtual Extranet (IVE). Удаленный пользователь может выполнить XSS нападение, чтобы внедрится в сессию целевого пользователя.

Сообщается, что несколько CGI сценариев не проверяют правильность данных, снабженных пользователем и переданных сценарию. Удаленный пользователь может сконструировать специально обработанный URL, который, при загрузке целевым пользователем, выполнит произвольный код сценария в браузере пользователя. В результате код может обратится к куки пользователя, которые могут использоваться для доступа к текущей сессии целевого пользователя.

Уязвимые сценарии не раскрываются.

Уязвимость обнаружена в Neoteris Instant Virtual Extranet 3.01 и более ранние версии

Ссылки: XSS In Neoteris IVE Allows Session Hijacking