Security Lab

Межсайтовый скриптинг в Nihuo Web Log Analyzer

Дата публикации:23.08.2004
Всего просмотров:1009
Опасность:
Средняя
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Nihuo Web Log Analyzer 1.x
Уязвимые версии: Nihuo Web Log Analyzer 1.6

Описание: Уязвимость в Nihuo Web Log Analyzer позволяет удаленному пользователю выполнить XSS нападение.

Программа не фильтрует HTML код в поле User-Agent:

Host: sample.com
Connection: close
Accept: text/plain
Accept-Language: en-us,en
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
User-Agent: Some-Fake-UA <img src='http://attacker.host.com/app.gif'>

URL производителя: http://www.loganalyzer.net/

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: Cross-Site Scripting (XSS) in Nihuo Web Log Analyzer