Межсайтовый скриптинг в WebCT Campus Edition
| Дата публикации: | 30.03.2004 |
| Всего просмотров: | 1509 |
| Опасность: | Низкая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Межсайтовый скриптинг |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | WebCT Campus Edition 4.x |
| Уязвимые версии: WebCT 4.1.1.5
Описание: Уязвимость обнаружена в WebCT Campus Edition. Удаленный пользователь может выполнить XSS нападение. БЗЮ Программа не фильрует HMTL код в данных, представленных пользователем, при создании новых сообщений. Удаленный пользователь моежет внедрить код сценария внутри CSS @import url() параметра (только в Microsoft Internet Explorer). Пример/Эксплоит: <style type="text/css"> @import url(javascript:alert(document.cookie)); </style> URL производителя:http://www.webct.com/products/viewpage?name=products_campus_edition Решение:Установите соответствующее обновление: WebCT CE 4.1 SP2 Hotfix 40832 http://download.webct.com/ce+/4.1/hotfixes/41sp2_hotfix_rel_notes.html WebCT CE 4.0 SP3 Hotfix 40833 http://download.webct.com/ce+/4.0/hotfixes/40sp3_hotfix_rel_notes.html WebCT CE 3.8.4 Hotfix 8 http://download.webct.com/ce+/3.8/hotfixes/384 _hotfix_rel_notes.html |
|
| Ссылки: | WebCT Campus Edition 4.1 - Cross site scripting using CSS @import |