Security Lab

Межсайтовое выполнение сценариев в Jakarta Lucene

Дата публикации:07.12.2004
Всего просмотров:1264
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Jakarta Lucene 1.x
Уязвимые версии: Jakarta Lucene версии до 1.4.3

Описание:
Межсайтовое выполнение сценариев обнаружено в Jakarta Lucene в demo сценарии. Удаленный атакующий может получить доступ к важным данным пользователей.

Уязвимость существует в файле src/jsp/results.jsp из-за некорректной фильтрации входных данных. Удаленный атакующий может выполнить произвольный HTML код в браузере целевого пользователя.

URL производителя: jakarta.apache.org/lucene/docs/index.html

Решение: Установите обновление
http://www.apache.org/dyn/closer.cgi/jakarta/lucene/

Ссылки: Jakarta Lucene Input Validation Hole in 'results.jsp' Lets Remote Users Conduct Cross-Site Scripting Attacks