Межсайтовый скриптинг в RSA Authentication Agent for Web для IIS
- Дата публикации:
- 19.04.2005
- Дата изменения:
- 17.10.2006
- Всего просмотров:
- 923
- Опасность:
- Низкая
- Наличие исправления:
- Да
- Количество уязвимостей:
- 1
- CVSSv2 рейтинг:
- CVE ID:
-
CVE-2005-1118
CVE-2008-1470
CVE-2008-2026
CVE-2008-2027 - Вектор эксплуатации:
- Удаленная
- Воздействие:
- Межсайтовый скриптинг
- CWE ID:
- Нет данных
- Наличие эксплоита:
- Нет данных
- Уязвимые продукты:
- RSA Authentication Agent for Web for IIS 5.x
Уязвимые версии: RSA Authentication Agent for Web для IIS 5.2
Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к потенциально важным данным других пользователей.
Уязвимость существует из-за некорректной обработки входных данных в параметре 'postdata' в библиотеке 'IISWebAgentIF.dll' во время HTTP POST запроса. Удаленный пользователь может создать специально сформированный POST запрос и выполнить произвольный HTML сценарий в браузере жертвы.
Пример/Эксплоит: См. источник сообщения.
URL производителя: www.rsasecurity.com
Решение: Установите последнюю версию (5.3) от производителя.
Ссылки:
RSA Authentication Agent for Web - IISWebAgentIF.dll - Cross Site Scripting Vulnerability