Security Lab

Межсайтовый скриптинг в типовых страницах в OmniHTTPd web сервере

Дата публикации:21.07.2003
Всего просмотров:933
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание:

Несколько уязвимостей обнаружено в типовых страницах и приложениях, поставляемых с OmniHTTPd web сервером. Удаленный пользователь может выполнить XSS нападение против пользователей Web сайта.

Уязвимость в проверке правильности входных данных обнаружена в '/cgi-win/test-win.exe' и '/cgi-bin/minimal.pl' сценариях. Согласно сообщению, эти сценарии не фильтруют заголовки (например HTTP 'Location') перед их отображением.

Удаленный пользователь может сконструировать специально обработанный URL, содержащий произвольный HTML код, который будет выполнен в браузере пользователя, просматривающего эту ссылку, в контексте уязвимого сайта. Пример:

http://[target]/cgi-bin/minimal.pl?

http://[target]/cgi-win/test-win.exe?

Уязвимость обнаружена в OmniHTTPd web server 2.10

Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: omniHTTPD Server 2.10 cross-site scripting