Межсайтовое выполнение сценариев в Crystal Enterprise

Дата публикации:29.12.2004
Всего просмотров:884
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Crystal Enterprise 9
Crystal Enterprise 10
Crystal Enterprise 8.x
Уязвимые версии: Crystal Enterprise 8.5, 9, 10

Описание:
Обнаружено межсайтовое выполнение сценариев в Crystal Enterprise. Удаленный атакующий может получить доступ к важной информации пользователей.

Обнаружена уязвимость при обработке входных данных пользователей в RPT файлах. Удаленный атакующий может создать специальным образом URL, которая при загрузке целевым пользователем выполнить произвольный HTML сценарий в браузере.

URL производителя: support.businessobjects.com/library/kbase/articles/c2016559.asp

Решение: Установите обновление
support.businessobjects.com/library/kbase/articles/c2016559.asp

Ссылки: Crystal Enterprise Filtering Flaw in RPT File URLs Permits Cross-Site Scripting Attacks