Выполнение произвольного кода сценария в произвольном домене в Inktomi Traffic Server
| Дата публикации: | 19.05.2003 |
| Всего просмотров: | 1088 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | Уязвимость в проверке правильности ввода обнаружена в Inktomi Traffic Server. Удаленный пользователь может выполнить XSS нападение против пользователей на сети, в которой используется Traffic Server. Нападение может быть выполнено против любого домена.
Сообщается, что удаленный пользователь может создать специально обработанный URL следующей формы, который заставит Inktomi Traffic Server сгенерировать страницу ошибки: http://<spoofed_domain>:443/</em><script>alert()</script>Страница ошибки отобразит HTML код, представленный пользователем, включая код сценария. Когда целевой пользователь загрузит URL, произвольный код сценария будет выполнен в браузере целевого пользователя в контексте “spoofed_domain” сайта. Чтобы эксплуатировать уязвимость, URL должен открыть сокет на 80 порту (чтобы гарантировать, что подключение происходит через прокси), который открыт на сайте адресата. Также можно запросить 443 порт, независимо от того, открыт он или нет. Уязвимость обнаружена в Inktomi Traffic Server 5.5.1 |
| Ссылки: | INKTOMI Traffic-Server XSS |