Межсайтовый скриптинг в Escapade
| Дата публикации: | 15.09.2003 |
| Всего просмотров: | 1146 |
| Опасность: | Низкая |
| Наличие исправления: | Нет |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Раскрытие системных данных |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | Escapade 0.x |
Уязвимые версии: Escapade 0.x Описание: Уязвимость обнаружена в Escapade. Удаленный пользователь может выполнить XSS нападение. Удаленный атакующий может запросить несуществующий ресурс со специально обработанным параметром "PAGE", чтобы заставить Escapade выполнить произвольный код сценария и отобразить реальный путь к "esp-pages/" каталогу. Пример/Эксплоит: 1. XSS http://[victim]/cgi-bin/esp?PAGE=<script>alert(document.domain)</script>2. Раскрытие пути: http://[target]/cgi-bin/esp?PAGE=!@#$% URL производителя:http://www.escapade.org/ Решение: Способов устранения обнаруженной уязвимости не существует в настоящее время. Фильтруйте злонамеренный ввод в http прокси с возможностью URL фильтрации. |
|
| Ссылки: | Escapade Scripting Engine XSS Vulnerability and Path Disclosure |