Межсайтовый скриптинг в типовых страницах в OmniHTTPd web сервере

Несколько уязвимостей обнаружено в типовых страницах и приложениях, поставляемых с OmniHTTPd web сервером. Удаленный пользователь может выполнить XSS нападение против пользователей Web сайта.

Уязвимость в проверке правильности входных данных обнаружена в '/cgi-win/test-win.exe' и '/cgi-bin/minimal.pl' сценариях. Согласно сообщению, эти сценарии не фильтруют заголовки (например HTTP 'Location') перед их отображением.

Удаленный пользователь может сконструировать специально обработанный URL, содержащий произвольный HTML код, который будет выполнен в браузере пользователя, просматривающего эту ссылку, в контексте уязвимого сайта. Пример:

http://[target]/cgi-bin/minimal.pl?

http://[target]/cgi-win/test-win.exe?

Уязвимость обнаружена в OmniHTTPd web server 2.10

Способов устранения обнаруженной уязвимости не существует в настоящее время.