Межсайтовое выполнение сценариев в OpenWFE
| Дата публикации: | 27.10.2004 |
| Всего просмотров: | 1288 |
| Опасность: | Низкая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: |
CVE-2004-1630 CVE-2004-1631 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Спуфинг атака |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | OpenWFE 1.x |
| Уязвимые версии: OpenWFE 1.4.х
Описание: Приложение некорректно фильтрует входные данные параметра URL в 'Login Form'. Удаленный атакующий может создать специально сформированную ссылку, которая при загрузке клиентом, выполнит произвольный HTML код в браузере. Пример: rmi://localhost:7080/workSessionServer"><script>alert(document.cookie)</s cript> rmi://<h1>hi</h1>:7099/workSessionServer Также возможно сканирование портов на произвольных хостах с помощью специально сформированного ‘rmi’ URL. Пример:rmi://<hostname>:<port>/location Полагаясь на время и содержимое ответа от OpenWFE удаленный атакующий может определить состояние порта на удаленном хосте. URL производителя: www.openwfe.org Решение: Установите обновление |
|
| Ссылки: | Two Vulnerabilities in OpenWFE |